[字符串处理中Character类的应用场...]的搜索结果

...细节虽然不起眼，但在处理字符串时经常给我们惹出不少麻烦，真是让人头疼。作为一个喜欢编程的程序员，我经常碰到这种难题，每次搞定后都特有那种“终于拨开云雾见青天”的爽快感。今天，我就来分享一下我在这方面的经验和见解。 2. 全角空格与半角空格的概念 2.1 什么是全角空格？ 全角空格，也叫中文空格，是一种宽字符，通常出现在中文文本中。它在Unicode编码中的位置是U+3000。你看，在屏幕上全角空格就像个大胖子，占的地方比半角空格多出不少。所以在排版的时候，用全角空格会让整个布局看起来更赏心悦目。 2.2 什么是半角空格？ 半角空格，也叫英文空格，是一种窄字符，通常出现在英文文本中。它在Unicode编码中的位置是U+0020。在视觉上，半角空格占用的空间较小，适合在英文文本中使用。 3. 全角空格与半角空格在Java中的处理 3.1 如何区分全角空格与半角空格？ 在Java中，我们可以利用Character类提供的方法来判断一个字符是否为全角空格或半角空格。例如： java public static boolean isFullWidthSpace(char c) { return c == '\u3000'; // 全角空格 } public static boolean isHalfWidthSpace(char c) { return c == ' '; // 半角空格 } 这里我们定义了两个方法isFullWidthSpace和isHalfWidthSpace，分别用于判断一个字符是否为全角空格或半角空格。这个方法虽然简单，但在实际应用中非常实用。 3.2 如何替换全角空格与半角空格？ 有时候我们需要将文本中的全角空格替换为半角空格，或者反之。这时我们可以使用String类的replace或replaceAll方法。下面是一个具体的例子： java public class ReplaceSpaces { public static void main(String[] args) { String text = "这是一段包含全角空格的文字\u3000"; // 替换全角空格为半角空格 String result = text.replace('\u3000', ' '); System.out.println("替换后的结果：" + result); // 反之，替换半角空格为全角空格 String originalText = "This is a sentence with half-width spaces."; String fullWidthResult = originalText.replace(' ', '\u3000'); System.out.println("全角空格替换结果：" + fullWidthResult); } } 在这个例子中，我们首先将一段包含全角空格的文本中的全角空格替换为半角空格，然后反向操作，将一段英文文本中的半角空格替换为全角空格。用这种方法，我们就能够随心所欲地调整文本里的空格了，想怎么玩就怎么玩。 4. 实际应用案例 在实际开发中，我们经常会遇到需要处理各种复杂文本的情况。比如说，有时候用户会不小心输入全角空格，这玩意儿能直接让我们的程序翻车。这时候，我们就得对输入做一些处理，把那些全角空格换成半角空格，这样程序才能好好地工作。 假设我们正在开发一个文本编辑器，用户可以输入任意文本。为了确保文本不出错，我们在保存前得把全角空格换成半角空格。下面是实现这一功能的代码示例： java public class TextEditor { public static void main(String[] args) { Scanner scanner = new Scanner(System.in); System.out.println("请输入一段文本："); String input = scanner.nextLine(); // 将全角空格替换为半角空格 String correctedInput = input.replace('\u3000', ' '); // 保存修正后的文本 saveText(correctedInput); System.out.println("文本已保存！"); } private static void saveText(String text) { // 这里可以添加保存文本的逻辑，例如保存到文件等 System.out.println("保存的内容：" + text); } } 在这个例子中，我们创建了一个简单的文本编辑器，用户可以输入一段文本。在保存文本之前，我们调用replace方法将其中的全角空格替换为半角空格，从而确保文本的正确性。这样一来，就算大伙儿一不小心打了个全角空格进来，我们的程序也能妥妥地应对，不会出岔子。 5. 总结 全角空格与半角空格在Java编程中是一个不容忽视的小细节。通过对它们的正确理解和处理，我们可以避免很多潜在的问题。希望大家在阅读本文后，能够掌握如何在Java中区分和处理这两种空格，从而在实际开发中更加得心应手。 最后，我想说的是，编程不仅是技术的较量，更是对细节的把握。每一个看似微不足道的小问题，都可能成为影响整个项目的关键。因此，我们要时刻保持警惕，不断学习和积累经验，才能成为一名优秀的程序员。希望我的分享能对你有所帮助，也欢迎你在评论区留言交流，让我们一起进步！

.... MySQL客户机应用程序将读取以下选项。注意，只有MySQL提供的客户端应用程序才能阅读本节。如果您希望自己的MySQL客户机程序遵守这些值，您需要在初始化MySQL客户机库时将其指定为一个选项。 [client] pipe= socket=MYSQL port=3306 [mysql] no-beep default-character-set= SERVER SECTION 服务器部分 ---------------------------------------------------------------------- The following options will be read by the MySQL Server. Make sure that you have installed the server correctly (see above) so it reads this file. MySQL服务器将读取以下选项。确保您已经正确安装了服务器(参见上面)，以便它读取这个文件。 server_type=3 [mysqld] The next three options are mutually exclusive to SERVER_PORT below. 下面的三个选项对SERVER_PORT是互斥的。skip-networking enable-named-pipe 共享内存 skip-networking enable-named-pipe shared-memory shared-memory-base-name=MYSQL The Pipe the MySQL Server will use socket=MYSQL The TCP/IP Port the MySQL Server will listen on port=3306 Path to installation directory. All paths are usually resolved relative to this. basedir="C:/Program Files/MySQL/MySQL Server 8.0/" Path to the database root datadir=C:/ProgramData/MySQL/MySQL Server 8.0/Data The default character set that will be used when a new schema or table is created and no character set is defined 创建新模式或表时使用的默认字符集，并且没有定义字符集 character-set-server= The default authentication plugin to be used when connecting to the server 连接到服务器时使用的默认身份验证插件 default_authentication_plugin=caching_sha2_password The default storage engine that will be used when create new tables when 当创建新表时将使用的默认存储引擎 default-storage-engine=INNODB Set the SQL mode to strict 将SQL模式设置为strict sql-mode="STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION" General and Slow logging. 一般和缓慢的日志。 log-output=NONE general-log=0 general_log_file="DESKTOP-NF9QETB.log" slow-query-log=0 slow_query_log_file="DESKTOP-NF9QETB-slow.log" long_query_time=10 Binary Logging. 二进制日志。 log-bin Error Logging. 错误日志记录。 log-error="DESKTOP-NF9QETB.err" Server Id. server-id=1 Indicates how table and database names are stored on disk and used in MySQL. 指示表名和数据库名如何存储在磁盘上并在MySQL中使用。 Value = 0: Table and database names are stored on disk using the lettercase specified in the CREATE TABLE or CREATE DATABASE statement. Name comparisons are case sensitive. You should not set this variable to 0 if you are running MySQL on a system that has case-insensitive file names (such as Windows or macOS). Value = 0:表名和数据库名使用CREATE Table或CREATE database语句中指定的lettercase存储在磁盘上。名称比较区分大小写。如果您在一个具有不区分大小写文件名(如Windows或macOS)的系统上运行MySQL，则不应将该变量设置为0。 Value = 1: Table names are stored in lowercase on disk and name comparisons are not case-sensitive. MySQL converts all table names to lowercase on storage and lookup. This behavior also applies to database names and table aliases. 表名以小写存储在磁盘上，并且名称比较不区分大小写。MySQL在存储和查找时将所有表名转换为小写。此行为也适用于数据库名称和表别名。 Value = 3, Table and database names are stored on disk using the lettercase specified in the CREATE TABLE or CREATE DATABASE statement, but MySQL converts them to lowercase on lookup. Name comparisons are not case sensitive. This works only on file systems that are not case-sensitive! InnoDB table names and view names are stored in lowercase, as for Value = 1.表名和数据库名使用CREATE Table或CREATE database语句中指定的lettercase存储在磁盘上，但是MySQL在查找时将它们转换为小写。名称比较不区分大小写。这只适用于不区分大小写的文件系统!InnoDB表名和视图名以小写存储，Value = 1。 NOTE: lower_case_table_names can only be configured when initializing the server. Changing the lower_case_table_names setting after the server is initialized is prohibited. lower_case_table_names=1 Secure File Priv. 权限安全文件 secure-file-priv="C:/ProgramData/MySQL/MySQL Server 8.0/Uploads" The maximum amount of concurrent sessions the MySQL server will allow. One of these connections will be reserved for a user with SUPER privileges to allow the administrator to login even if the connection limit has been reached. MySQL服务器允许的最大并发会话量。这些连接中的一个将保留给具有超级特权的用户，以便允许管理员登录，即使已经达到连接限制。 max_connections=151 The number of open tables for all threads. Increasing this value increases the number of file descriptors that mysqld requires. Therefore you have to make sure to set the amount of open files allowed to at least 4096 in the variable "open-files-limit" in 为所有线程打开的表的数量。增加这个值会增加mysqld需要的文件描述符的数量。因此，您必须确保在[mysqld_safe]节中的变量“open-files-limit”中将允许打开的文件数量至少设置为4096 section [mysqld_safe] table_open_cache=2000 Maximum size for internal (in-memory) temporary tables. If a table grows larger than this value, it is automatically converted to disk based table This limitation is for a single table. There can be many of them. 内部(内存)临时表的最大大小。如果一个表比这个值大，那么它将自动转换为基于磁盘的表。可以有很多。 tmp_table_size=94M How many threads we should keep in a cache for reuse. When a client disconnects, the client's threads are put in the cache if there aren't more than thread_cache_size threads from before. This greatly reduces the amount of thread creations needed if you have a lot of new connections. (Normally this doesn't give a notable performance improvement if you have a good thread implementation.) 我们应该在缓存中保留多少线程以供重用。当客户机断开连接时，如果之前的线程数不超过thread_cache_size，则将客户机的线程放入缓存。如果您有很多新连接，这将大大减少所需的线程创建量(通常，如果您有一个良好的线程实现，这不会带来显著的性能改进)。 thread_cache_size=10 MyISAM Specific options The maximum size of the temporary file MySQL is allowed to use while recreating the index (during REPAIR, ALTER TABLE or LOAD DATA INFILE. If the file-size would be bigger than this, the index will be created through the key cache (which is slower). MySQL允许在重新创建索引时(在修复、修改表或加载数据时)使用临时文件的最大大小。如果文件大小大于这个值，那么索引将通过键缓存创建(这比较慢)。 myisam_max_sort_file_size=100G If the temporary file used for fast index creation would be bigger than using the key cache by the amount specified here, then prefer the key cache method. This is mainly used to force long character keys in large tables to use the slower key cache method to create the index. myisam_sort_buffer_size=179M Size of the Key Buffer, used to cache index blocks for MyISAM tables. Do not set it larger than 30% of your available memory, as some memory is also required by the OS to cache rows. Even if you're not using MyISAM tables, you should still set it to 8-64M as it will also be used for internal temporary disk tables. 如果用于快速创建索引的临时文件比这里指定的使用键缓存的文件大，则首选键缓存方法。这主要用于强制大型表中的长字符键使用较慢的键缓存方法来创建索引。 key_buffer_size=8M Size of the buffer used for doing full table scans of MyISAM tables. Allocated per thread, if a full scan is needed. 用于对MyISAM表执行全表扫描的缓冲区的大小。如果需要完整的扫描，则为每个线程分配。 read_buffer_size=256K read_rnd_buffer_size=512K INNODB Specific options INNODB特定选项 innodb_data_home_dir= Use this option if you have a MySQL server with InnoDB support enabled but you do not plan to use it. This will save memory and disk space and speed up some things. 如果您启用了一个支持InnoDB的MySQL服务器，但是您不打算使用它，那么可以使用这个选项。这将节省内存和磁盘空间，并加快一些事情。skip-innodb skip-innodb If set to 1, InnoDB will flush (fsync) the transaction logs to the disk at each commit, which offers full ACID behavior. If you are willing to compromise this safety, and you are running small transactions, you may set this to 0 or 2 to reduce disk I/O to the logs. Value 0 means that the log is only written to the log file and the log file flushed to disk approximately once per second. Value 2 means the log is written to the log file at each commit, but the log file is only flushed to disk approximately once per second. 如果设置为1,InnoDB将在每次提交时将事务日志刷新(fsync)到磁盘，这将提供完整的ACID行为。如果您愿意牺牲这种安全性，并且正在运行小型事务，您可以将其设置为0或2，以将磁盘I/O减少到日志。值0表示日志仅写入日志文件，日志文件大约每秒刷新一次磁盘。值2表示日志在每次提交时写入日志文件，但是日志文件大约每秒只刷新一次磁盘。 innodb_flush_log_at_trx_commit=1 The size of the buffer InnoDB uses for buffering log data. As soon as it is full, InnoDB will have to flush it to disk. As it is flushed once per second anyway, it does not make sense to have it very large (even with long transactions).InnoDB用于缓冲日志数据的缓冲区大小。一旦它满了，InnoDB就必须将它刷新到磁盘。由于它无论如何每秒刷新一次，所以将它设置为非常大的值是没有意义的(即使是长事务)。 innodb_log_buffer_size=5M InnoDB, unlike MyISAM, uses a buffer pool to cache both indexes and row data. The bigger you set this the less disk I/O is needed to access data in tables. On a dedicated database server you may set this parameter up to 80% of the machine physical memory size. Do not set it too large, though, because competition of the physical memory may cause paging in the operating system. Note that on 32bit systems you might be limited to 2-3.5G of user level memory per process, so do not set it too high. 与MyISAM不同，InnoDB使用缓冲池来缓存索引和行数据。设置的值越大，访问表中的数据所需的磁盘I/O就越少。在专用数据库服务器上，可以将该参数设置为机器物理内存大小的80%。但是，不要将它设置得太大，因为物理内存的竞争可能会导致操作系统中的分页。注意，在32位系统上，每个进程的用户级内存可能被限制在2-3.5G，所以不要设置得太高。 innodb_buffer_pool_size=20M Size of each log file in a log group. You should set the combined size of log files to about 25%-100% of your buffer pool size to avoid unneeded buffer pool flush activity on log file overwrite. However, note that a larger logfile size will increase the time needed for the recovery process. 日志组中每个日志文件的大小。您应该将日志文件的合并大小设置为缓冲池大小的25%-100%，以避免在覆盖日志文件时出现不必要的缓冲池刷新活动。但是，请注意，较大的日志文件大小将增加恢复过程所需的时间。 innodb_log_file_size=48M Number of threads allowed inside the InnoDB kernel. The optimal value depends highly on the application, hardware as well as the OS scheduler properties. A too high value may lead to thread thrashing. InnoDB内核中允许的线程数。最优值在很大程度上取决于应用程序、硬件以及OS调度程序属性。过高的值可能导致线程抖动。 innodb_thread_concurrency=9 The increment size (in MB) for extending the size of an auto-extend InnoDB system tablespace file when it becomes full. 增量大小(以MB为单位)，用于在表空间满时扩展自动扩展的InnoDB系统表空间文件的大小。 innodb_autoextend_increment=128 The number of regions that the InnoDB buffer pool is divided into. For systems with buffer pools in the multi-gigabyte range, dividing the buffer pool into separate instances can improve concurrency, by reducing contention as different threads read and write to cached pages. InnoDB缓冲池划分的区域数。对于具有多gb缓冲池的系统，将缓冲池划分为单独的实例可以提高并发性，因为不同的线程对缓存页面的读写会减少争用。 innodb_buffer_pool_instances=8 Determines the number of threads that can enter InnoDB concurrently. 确定可以同时进入InnoDB的线程数 innodb_concurrency_tickets=5000 Specifies how long in milliseconds (ms) a block inserted into the old sublist must stay there after its first access before it can be moved to the new sublist. 指定插入到旧子列表中的块必须在第一次访问之后停留多长时间(毫秒)，然后才能移动到新子列表。 innodb_old_blocks_time=1000 It specifies the maximum number of .ibd files that MySQL can keep open at one time. The minimum value is 10. 它指定MySQL一次可以打开的.ibd文件的最大数量。最小值是10。 innodb_open_files=300 When this variable is enabled, InnoDB updates statistics during metadata statements. 当启用此变量时，InnoDB会在元数据语句期间更新统计信息。 innodb_stats_on_metadata=0 When innodb_file_per_table is enabled (the default in 5.6.6 and higher), InnoDB stores the data and indexes for each newly created table in a separate .ibd file, rather than in the system tablespace. 当启用innodb_file_per_table(5.6.6或更高版本的默认值)时，InnoDB将每个新创建的表的数据和索引存储在单独的.ibd文件中，而不是系统表空间中。 innodb_file_per_table=1 Use the following list of values: 0 for crc32, 1 for strict_crc32, 2 for innodb, 3 for strict_innodb, 4 for none, 5 for strict_none. 使用以下值列表:0表示crc32, 1表示strict_crc32, 2表示innodb, 3表示strict_innodb, 4表示none, 5表示strict_none。 innodb_checksum_algorithm=0 The number of outstanding connection requests MySQL can have. This option is useful when the main MySQL thread gets many connection requests in a very short time. It then takes some time (although very little) for the main thread to check the connection and start a new thread. The back_log value indicates how many requests can be stacked during this short time before MySQL momentarily stops answering new requests. You need to increase this only if you expect a large number of connections in a short period of time. MySQL可以有多少未完成连接请求。当MySQL主线程在很短的时间内收到许多连接请求时，这个选项非常有用。然后，主线程需要一些时间(尽管很少)来检查连接并启动一个新线程。back_log值表示在MySQL暂时停止响应新请求之前的短时间内可以堆多少个请求。只有当您预期在短时间内会有大量连接时，才需要增加这个值。 back_log=80 If this is set to a nonzero value, all tables are closed every flush_time seconds to free up resources and synchronize unflushed data to disk. This option is best used only on systems with minimal resources. 如果将该值设置为非零值，则每隔flush_time秒关闭所有表，以释放资源并将未刷新的数据同步到磁盘。这个选项最好只在资源最少的系统上使用。 flush_time=0 The minimum size of the buffer that is used for plain index scans, range index scans, and joins that do not use 用于普通索引扫描、范围索引扫描和不使用索引执行全表扫描的连接的缓冲区的最小大小。 indexes and thus perform full table scans. join_buffer_size=200M The maximum size of one packet or any generated or intermediate string, or any parameter sent by the mysql_stmt_send_long_data() C API function. 由mysql_stmt_send_long_data() C API函数发送的一个包或任何生成的或中间字符串或任何参数的最大大小 max_allowed_packet=500M If more than this many successive connection requests from a host are interrupted without a successful connection, the server blocks that host from performing further connections. 如果在没有成功连接的情况下中断了来自主机的多个连续连接请求，则服务器将阻止主机执行进一步的连接。 max_connect_errors=100 Changes the number of file descriptors available to mysqld. You should try increasing the value of this option if mysqld gives you the error "Too many open files". 更改mysqld可用的文件描述符的数量。如果mysqld给您的错误是“打开的文件太多”，您应该尝试增加这个选项的值。 open_files_limit=4161 If you see many sort_merge_passes per second in SHOW GLOBAL STATUS output, you can consider increasing the sort_buffer_size value to speed up ORDER BY or GROUP BY operations that cannot be improved with query optimization or improved indexing. 如果在SHOW GLOBAL STATUS输出中每秒看到许多sort_merge_passes，可以考虑增加sort_buffer_size值，以加快ORDER BY或GROUP BY操作的速度，这些操作无法通过查询优化或改进索引来改进。 sort_buffer_size=1M The number of table definitions (from .frm files) that can be stored in the definition cache. If you use a large number of tables, you can create a large table definition cache to speed up opening of tables. The table definition cache takes less space and does not use file descriptors, unlike the normal table cache. The minimum and default values are both 400. 可以存储在定义缓存中的表定义的数量(来自.frm文件)。如果使用大量表，可以创建一个大型表定义缓存来加速表的打开。与普通的表缓存不同，表定义缓存占用更少的空间，并且不使用文件描述符。最小值和默认值都是400。 table_definition_cache=1400 Specify the maximum size of a row-based binary log event, in bytes. Rows are grouped into events smaller than this size if possible. The value should be a multiple of 256. 指定基于行的二进制日志事件的最大大小，单位为字节。如果可能，将行分组为小于此大小的事件。这个值应该是256的倍数。 binlog_row_event_max_size=8K If the value of this variable is greater than 0, a replication slave synchronizes its master.info file to disk. (using fdatasync()) after every sync_master_info events. 如果该变量的值大于0，则复制奴隶将其主.info文件同步到磁盘。(在每个sync_master_info事件之后使用fdatasync())。 sync_master_info=10000 If the value of this variable is greater than 0, the MySQL server synchronizes its relay log to disk. (using fdatasync()) after every sync_relay_log writes to the relay log. 如果这个变量的值大于0,MySQL服务器将其中继日志同步到磁盘。(在每个sync_relay_log写入到中继日志之后使用fdatasync())。 sync_relay_log=10000 If the value of this variable is greater than 0, a replication slave synchronizes its relay-log.info file to disk. (using fdatasync()) after every sync_relay_log_info transactions. 如果该变量的值大于0，则复制奴隶将其中继日志.info文件同步到磁盘。(在每个sync_relay_log_info事务之后使用fdatasync())。 sync_relay_log_info=10000 Load mysql plugins at start."plugin_x ; plugin_y". 开始时加载mysql插件。“plugin_x;plugin_y” plugin_load The TCP/IP Port the MySQL Server X Protocol will listen on. MySQL服务器X协议将监听TCP/IP端口。 loose_mysqlx_port=33060 本篇文章为转载内容。原文链接：https://blog.csdn.net/mywpython/article/details/89499852。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...Java中char和Character类的差异及其应用后，我们进一步关注近期Java语言对字符处理方面的最新进展。Java 13引入了文本块（Text Blocks）这一特性，极大地简化了多行字符串和模板文本的处理，尤其在涉及大量字符或需要格式化输出时，开发者无需再为转义字符烦恼。这看似与char和Character直接关联不大，但实则拓宽了字符操作的使用场景，使得字符和字符串结合更为紧密。 此外，在处理国际字符集方面，随着Unicode标准不断迭代升级，Java持续优化其对Unicode字符的支持。例如，Java 11增强了对Unicode 10.0的支持，并在后续版本中跟进最新的Unicode标准，确保开发者能够利用Java处理全球范围内的所有字符。 值得注意的是，虽然Java SE 8及以上版本提供了Optional类以进行更安全的类型处理，但在字符类型的空值安全操作上，Character类并未被完全替代。开发人员仍需谨慎对待可能为空的字符引用，适时运用Character对象或者Java 8中的Objects类提供的方法，如Objects.requireNonNullElse()等，来确保字符操作的安全性和健壮性。 另外，对于性能敏感的应用场景，尽管Character类提供了丰富的功能性方法，但因其涉及到对象创建和方法调用的开销，直接使用char类型进行基础操作可能会获得更好的性能表现。因此，在实际编码实践中，充分理解并灵活运用char与Character的区别至关重要，以便根据具体需求做出最佳选择。

...以进一步探索更广阔的应用场景和实践策略。近期，随着JDK 17的发布，对内存管理和字符串处理的优化更加凸显了正确使用“==”和equals()方法的重要性。例如，在JDK 17引入的String类的内部优化中，对于相同的字符串字面量，其“==”比较的结果在更多情况下将表现为true，这是由于对字符串常量池进行了更为高效的管理。 此外，对于自定义类的对象比较，不仅需要重写equals()方法以实现内容比较，还应遵循约定，同时重写hashCode()方法以保持equals()和hashCode()的一致性原则。这在诸如HashMap、HashSet等集合类的使用场景中至关重要，因为这些类会依赖hashCode()来快速定位元素，而equals()则用于最终确定元素是否相等。 实践中，对于复杂的对象结构，如多层嵌套的对象属性，可以采用Apache Commons Lang库中的EqualsBuilder和HashCodeBuilder工具类进行深度内容比较。这些工具提供了链式调用的方式，能确保即使对象结构复杂也能准确地判断内容是否相等，从而避免因属性遗漏而导致的比较错误。 总之，理解并有效运用Java中的对象比较方式是编程过程中的基石之一，它不仅关乎程序逻辑的准确性，也在很大程度上影响着应用程序的性能与健壮性。紧跟技术发展趋势，结合实际项目需求，灵活选择和定制合适的比较策略，是每个Java开发者不断提升技能的重要环节。

...何有效地将数字拼接为字符串之后，我们发现其在前端开发中扮演了至关重要的角色。特别是在处理大量数据时，如动态生成网页元素内容、构建查询字符串以及进行AJAX请求参数序列化等场景。 最近，随着WebAssembly和高性能JavaScript库的兴起，原生JavaScript性能优化的重要性更为凸显。例如，在Vue 3或React最新版本的应用中，为了提高渲染效率，开发者们更倾向于使用原生JavaScript方法而非框架提供的便捷工具。.join()凭借其高效的内存管理和运行速度，在此类优化实践中发挥了关键作用。 另外，在大数据处理与可视化领域，.join()方法同样被广泛应用。例如，在D3.js库中创建SVG路径时，需要将坐标点数组转换为连续的路径数据字符串，此时.join()就能派上用场，实现高效的数据格式转化。 不仅如此，.join()方法还揭示了JavaScript对Unicode字符集的良好支持，当数组元素包含非ASCII字符时，它依然能准确无误地拼接成字符串，这对于国际化应用开发具有重要意义。 因此，对于前端开发者而言，不仅需要掌握jQuery等库的便捷功能，更要深入了解JavaScript原生API，如.join()这样的基础函数，以应对不断变化的技术趋势和实际应用场景的需求。同时，持续关注ECMAScript新标准的发展，了解并掌握新的字符串处理方式，也是提升开发效能的关键所在。

...在实际web开发中的应用场景与最新趋势。 近期，随着前端框架如React、Vue等的广泛应用，以及对用户体验要求的不断提升，数字格式化的重要性日益凸显。例如，在时间日期显示、序号生成、电话号码和信用卡号等场景中，常常需要根据固定格式为数字添加前导零。而在使用jQuery进行DOM操作时，结合原生JavaScript的补零函数，可以灵活地动态调整页面元素内的数字展示，确保UI的一致性和易读性。 同时，针对国际化的项目需求，数字的前导零处理还涉及到不同地区和文化的数字格式差异。比如在一些欧洲国家，电话号码通常会以0开头，这时就需要利用类似addZero的函数来确保号码显示符合当地习惯。 另外，值得注意的是，在现代前端工程化趋势下，开发者越来越多地借助于lodash、Ramda等工具库，它们提供了更为丰富和便捷的字符串和数字处理方法，其中也包括数字前置补零的功能。例如，lodash的padStart方法可以直接设定填充字符及长度，一步到位实现数字格式化。 因此，无论是深入学习JavaScript本身的字符串处理API，还是关注前沿框架和工具库的相关特性，都是提升web开发中数字处理能力的关键所在。不断跟进最新的前端技术和最佳实践，能够帮助我们在实际项目中更加高效且准确地实现各种复杂的数字格式化需求。

...机器解读和创建、广泛应用等特点。在JavaScript中，可以将JSON格式的数据直接转换成实体，并且也可以将实体转换成JSON格式的数据。 将JSON转换成实体的方式是通过JSON.parse()函数完成的，它可以将JSON格式的文本解读成实体。 var jsonStr = '{"name":"Jack","age":20}'; var obj = JSON.parse(jsonStr); console.log(obj.name); // Jack console.log(obj.age); // 20 将实体转换成JSON的方式是通过JSON.stringify()函数完成的，它可以将实体转换成JSON格式的文本。 var obj = {name: "Jack", age: 20}; var jsonStr = JSON.stringify(obj); console.log(jsonStr); // {"name":"Jack","age":20} 在转换JSON格式的数据时，需要特别留意JSON格式的严谨性，例如键名必须用双引括起来，不能使用单引或不括起来。如果JSON格式不符合规范，转换时会引发SyntaxError错误。 var jsonStr = "{'name': 'Jack', 'age': 20}"; var obj = JSON.parse(jsonStr); // SyntaxError: JSON.parse: unexpected character 另外，在使用JSON格式进行数据交互时，还需要留意跨域问题。默认情况下，不同域名之间的数据传递会被浏览器约束，可以通过配置服务器端的Access-Control-Allow-Origin头部信息来处理跨域问题。 总之，JSON是一种十分重要的数据交换格式，掌握JSON的转换方式是必不可少的。

...Pig如何高效加载和处理大数据后，进一步探索当今大数据生态系统的发展动态与最新应用场景将帮助您紧跟技术前沿。近期，Apache Pig项目团队发布了新版本，针对性能优化、兼容性和易用性进行了多项改进，以更好地适应大规模数据处理需求，并实现与最新Hadoop生态系统的无缝对接。 与此同时，随着云计算服务的普及，诸如AWS EMR、Azure HDInsight等云平台已全面支持Apache Pig，使得用户无需自建集群就能便捷地在云端运行Pig脚本，极大地降低了大数据分析的入门门槛和运维成本。 此外，在实际应用层面，Apache Pig在实时流数据处理、机器学习模型训练、以及大规模日志分析等领域展现出巨大潜力。例如，结合Apache Flink或Spark Streaming，可利用Pig对实时数据进行预处理；而在数据挖掘场景中，科研人员成功借助Pig构建复杂的数据转换管道，用于训练深度学习模型，取得了显著成果。 因此，持续关注Apache Pig及其相关领域的最新进展和技术实践，对于提升个人在大数据处理与分析领域的专业技能至关重要。同时，了解并掌握如何结合其他大数据工具和框架来扩展Pig的功能边界，无疑将使您在解决现实世界复杂问题时具备更强的竞争优势。

...决方案后，进一步了解字符编码的实际应用和最新动态对于开发者来说至关重要。近期，随着全球互联网的普及与发展，Unicode编码标准因其全面涵盖多种语言及符号的能力，在国际化的Web开发中扮演着愈发重要的角色。尤其在处理多语言数据交换时，UTF-8作为Unicode的一种变长字节编码格式，已成为现代Web服务的标准字符集。 同时，随着技术的发展，一些新的挑战也随之出现。例如，由于历史遗留问题或数据迁移过程中的疏忽，乱码问题仍然困扰着许多开发者。对此，Google等科技巨头正在研发更为智能的自动识别和转换工具，以减少因字符编码不匹配导致的问题。 另外，针对特定领域的高级字符编码应用场景，如编程语言对Unicode支持的改进也是值得关注的话题。Python 3.x版本已全面采用Unicode字符串，而JavaScript也在ES6引入了新的字符串API来更好地处理字符编码问题，这都体现了业界对字符编码规范与实践的不断深化理解和优化。 因此，作为开发者，除了掌握基础的字符编码知识，还需紧跟行业发展趋势，关注字符编码相关的技术创新和最佳实践，以便在实际工作中更有效地避免和解决类似EncodingEncodingException这样的问题。

...们发现开源技术在抽奖应用中的创新性和实用性。近日，开源社区对这类随机性与公正性并存的抽奖程序关注度不断提升。例如，某知名科技公司在其年度开发者大会上，就采用了基于区块链技术的开源抽奖系统进行现场互动，确保了活动结果的透明度与不可篡改性。 同时，Python因其易读、易维护以及丰富的库资源，在开发此类应用时展现出了显著优势。有开发者结合Python的random模块和datetime模块，进一步研发出支持复杂规则设定的定时抽奖系统，不仅适用于线上活动，也能为线下会议、庆典等场合提供公平高效的抽奖解决方案。 此外，学委提及的【Python基础专栏】和【Python入门到精通大专栏】在持续更新中，近期发布了一系列关于Python字符串处理函数在实际项目中的高级用法解析，帮助读者深入了解如何利用Python进行数据清洗、文本分析等工作，进一步提升编程技能。 值得注意的是，随着Python生态系统的日益繁荣，越来越多的企业和个人开始将Python应用于日常运营工具的开发，如抽奖工具、数据分析软件等。这不仅推动了Python技术的普及，也为开发者提供了广阔的实践平台，鼓励他们在实践中不断优化和完善这些实用工具，以满足不同场景的需求。在这个过程中，类似prize这样的开源项目将持续发挥关键作用，赋能更多有趣且富有创意的应用场景。

...中，数组列表元素都是字符串 String 类型。 如果我们要存储其他类型，而 <E> 只能为引用数据类型，这时我们就需要使用到基本类型的包装类。 基本类型对应的包装类表如下： 基本类型 引用类型 boolean Boolean byte Byte short Short int Integer long Long float Float double Double char Character 访问 ArrayList 中的元素可以使用 get() 方法： public static void main(String[] args) {ArrayList<String> sites = new ArrayList<String>();sites.add("weipinhui");sites.add("pinduoduo");sites.add("Taobao");sites.add("jingdong");System.out.println(sites);} 注意：数组的索引值从 0 开始。 ArrayList 类提供了很多有用的方法，添加元素到 ArrayList 可以使用 add() 方法 public static void main(String[] args) {ArrayList<String> sites = new ArrayList<String>();sites.add("weipinhui");sites.add("pinduoduo");sites.add("Taobao");sites.add("jingdong");sites.set(2, "Weixin"); // 第一个参数为索引位置，第二个为要修改的值System.out.println(sites);} 如果要修改 ArrayList 中的元素可以使用 set() 方法： public static void main(String[] args) {ArrayList<String> sites = new ArrayList<String>();sites.add("weipinhui");sites.add("pinduoduo");sites.add("Taobao");sites.add("jingdong");sites.set(2, "Weixin"); // 第一个参数为索引位置，第二个为要修改的值System.out.println(sites);} 如果要删除 ArrayList 中的元素可以使用 remove() 方法： public static void main(String[] args) {ArrayList<String> sites = new ArrayList<String>();sites.add("weipinhui");sites.add("pinduoduo");sites.add("Taobao");sites.add("jingdong");sites.remove(3); // 删除第四个元素System.out.println(sites);} 如果要计算 ArrayList 中的元素数量可以使用 size() 方法： public static void main(String[] args) {ArrayList<String> sites = new ArrayList<String>();sites.add("weipinhui");sites.add("pinduoduo");sites.add("Taobao");sites.add("jingdong");System.out.println(sites.size());} 使用Scanner、Random、ArrayList完成一个不重复的点名程序： public static void main(String[] args) {//可以使用Arrays的asList实现序列化一个集合List<String> list= Arrays.asList("叶枫","饶政","郭汶广","王志刚","时力强","柴浩阳","王宁","雷坤恒","贠耀强","齐东豪","袁文涛","孙啸聪","李文彬","孙赛欧","曾毅","付临","王文龙","朱海尧","史艳红","赵冉冉","詹梦","苏真娇","张涛","王浩","刘发光","王愉茜","牛怡衡","臧照生","梁晓声","孔顺达","田野","宫帅龙","高亭","张卓","陈盼盼","杨延欣","李蒙惠","瞿新成","王婧源","刘建豪","彭习峰","胡凯","张武超","李炳杰","刘传","焦泽国");//把list作为参数重新构建一个新的ArrayList集合ArrayList<String> names=new ArrayList<>(list);//使用Scanner、Random、ArrayList完成一个不重复的点名程序Random random=new Random();Scanner scanner=new Scanner(System.in);while(true){//如果集合中没有元素了别结束循环if(names.size()==0){System.out.println("已完成所有学生抽查，抽查结束请重新开始");break;}System.out.println("确认点名请输入吧Y/y");String input=scanner.next();if(input.equals("Y")||input.equals("y")){//随机一个集合下标int index=random.nextInt(names.size());System.out.println(""+names.get(index));//该学生已经被抽到，把他从集合中移除names.remove(index);}else{System.out.println("本次抽查结束");break;} }} 本篇文章为转载内容。原文链接：https://blog.csdn.net/gccv_/article/details/128037485。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...的性能开销，尤其适合处理大量数据或需要高效内存访问的场景。 拆装箱（Boxing and Unboxing） , 在编程语言中，拆装箱是指将基本数据类型（如整型、字符型）与对应的包装器对象（如Integer、Character）之间进行转换的过程。在Kotlin中，使用原生类型数组可以有效避免对基本数据类型进行不必要的拆箱和装箱操作，提高程序运行效率。 遍历（Traversal） , 遍历是一种常见的编程操作，指的是按照某种顺序访问集合（如数组、列表、映射等）中的每个元素，并执行相应的操作。在本文中提到的Kotlin数组遍历方式包括使用for循环结合indices属性、通过iterator迭代器以及使用forEach高阶函数等方式。 自然排序（Natural Sorting） , 自然排序通常是指根据数据本身的特性（例如数字大小、字符串字典序等）进行升序或降序排列的一种排序方法。在Kotlin中，数组可以通过sort()、sortedArray()和sorted()方法实现自然排序，这些方法会基于元素的Comparable接口实现进行排序，无需程序员显式指定比较规则。 反转（Reversal） , 反转数组操作指的是改变数组元素原有的顺序，即将数组的最后一个元素移动到第一个位置，第一个元素移动到最后一个位置，依次类推，最终得到一个元素顺序颠倒的新数组。在Kotlin中，可以使用reverse()、reversedArray()和reversed()方法来实现数组的反转操作。 排序算法（Sorting Algorithms） , 排序算法是一系列用于将一组数据按照特定顺序排列的方法。在Kotlin中，数组的sort()方法内部实现了一种高效的排序算法，能够自动对数组元素进行排序，而sortedArray()和sorted()方法则返回一个新的已排序数组，不影响原有数组内容。这些排序方法默认采用自然排序，对于自定义排序逻辑，可以通过传递Comparator作为参数实现。

...ke内置函数，即模式字符串替换函数。 oname函数实现的功能是： 　　将第一个参数中符合%.s模式的替换成%.o 　　再继续将上述结果中符合%.c模式的替换成%.o 　　也就是把所有 .s 和 .c文件名替换成 .o文件名。 　　这个函数的功能就是计算源文件名（c源文件，汇编源文件）所相对应的目标文件名(经过编译汇编后的文件)。 CONTIKI_OBJECTFILES = ${addprefix $(OBJECTDIR)/,${call oname, $(CONTIKI_SOURCEFILES)} }PROJECT_OBJECTFILES = ${addprefix $(OBJECTDIR)/,${call oname, $(PROJECT_SOURCEFILES)} } 定义CONTIKI_OBJECTFILES变量 　　首先用oname函数，将CONTIKI_SOURCEFILES所对应的源文件名，改为目标文件名，如process.c将会变为process.o 　　再在文件名前边加上前缀$(OBJECTDIR)/，前边我们知道这个变量为obj_native，故process.c会变为obj_native/process.o 　　这个变量应该是代表即将生成的Contiki操作系统的目标文件名 定义PROJECT_OBJECTFILES变量 　　功能同上 　　这个变量应该是代表即将生成的项目中的目标文件名 　　PROJECT_SOURCEFILES这个变量为空，所以PROJECT_OBJECTFILES也为空。 Provide way to create $(OBJECTDIR) if it has been removed by make clean$(OBJECTDIR):mkdir $@ $@是自动化变量，表示规则中的目标文件集。我们知道OBJECTDIR为obj_native，所以$@为obj_native。 mkdir $@生成obj_native目录。 但是这个依赖关系链，怎么会涉及到obj_native的？ 调试了一下： 在生成CONTIKI_OBJECTFILES所代表的文件时，目录不存在，会先找依赖关系生成目录，再生成具体文件。 所以mkdir obj_native会被执行。 （2） ifdef APPSAPPDS = ${wildcard ${foreach DIR, $(APPDIRS), ${addprefix $(DIR)/, $(APPS)} }} \${wildcard ${addprefix $(CONTIKI)/apps/, $(APPS)} \${addprefix $(CONTIKI)/platform/$(TARGET)/apps/, $(APPS)} \$(APPS)}APPINCLUDES = ${foreach APP, $(APPS), ${wildcard ${foreach DIR, $(APPDS), $(DIR)/Makefile.$(APP)} }}-include $(APPINCLUDES)APP_SOURCES = ${foreach APP, $(APPS), $($(APP)_src)}DSC_SOURCES = ${foreach APP, $(APPS), $($(APP)_dsc)}CONTIKI_SOURCEFILES += $(APP_SOURCES) $(DSC_SOURCES)endif The project's makefile can also define in the APPS variable a list of applications from the apps/ directory that should be included in the Contiki system. hello-world这个例子没有定义APPS变量，故这段不会执行。 我们假设定义了APPS变量，其值为APPS += antelope unit-test。 相关知识点： wildcard函数： 返回所有符合pattern的文件名，以空格隔开。 $(wildcard pattern) The argument pattern is a file name pattern, typically containing wildcard characters (as in shell file name patterns). The result of wildcard is a space-separated list of the names of existing files that match the pattern. foreach函数: The syntax of the foreach function is: $(foreach var,list,text) The first two arguments, var and list, are expanded before anything else is done; note that the last argument, text, is not expanded at the same time. Then for each word of the expanded value of list, the variable named by the expanded value of var is set to that word, and text is expanded. Presumably text contains references to that variable, so its expansion will be different each time. The result is that text is expanded as many times as there are whitespace-separated words in list. The multiple expansions of text are concatenated, with spaces between them, to make the result of foreach. 每次从list中取出一个词（空格分隔）,赋给var变量，然后text（一般有var变量）被拓展开来。 只要list中还有空格分隔符就会一直循环下去，每一次text返回的结果都会以空格分隔开。 ${wildcard ${foreach DIR, $(APPDIRS), ${addprefix $(DIR)/, $(APPS)} }} 先分析${foreach DIR, $(APPDIRS), ${addprefix $(DIR)/, $(APPS)} } 其中DIR是变量（var），$(APPDIRS)是列表(list)，这个例子中没有定义APPDIRS这个变量，估计是用于定义除了$CONTIKI/apps/之外的apps目录。 ${addprefix $(DIR)/, $(APPS)}是text。我们假设定义了APPDIRS为a b。 那么第一次：DIR 会被赋值为a，${addprefix $(DIR)/, $(APPS)}，又我们假定APPS为antelope unit-test，所以最终会被拓展为a/antelope a/unit-test。 　　　　　DIR 会被赋值为b，${addprefix $(DIR)/, $(APPS)}，又我们假定APPS为antelope unit-test，所以最终会被拓展为b/antelope b/unit-test。 最终这两次结果会以空格分隔开，即a/antelope a/unit-test b/antelope b/unit-test ${wildcard a/antelope a/unit-test b/antelope b/unit-test} 返回空，因为找不到符合这样的目录。 所以最终这句语句，实现的功能是，返回$APPDIRS目录中，所有符合$APPS的目录。 ${wildcard ${addprefix $(CONTIKI)/apps/, $(APPS)} 这句语句返回$(CONTIKI)/apps/目录下所有符合$APPS的目录，即contiki-release-2-7/apps/antelope contiki-release-2-7/apps/unit-test ${addprefix $(CONTIKI)/platform/$(TARGET)/apps/, $(APPS)} 这句语句返回$(CONTIKI)/platform/$(TARGET)/apps/目录下所有$APPS的目录，即contiki-release-2-7/platform/native/apps/antelope contiki-release-2-7/platform/native/apps/unit-test。 在contiki-release-2-7/platform/native目录下，并没有apps目录，后边有差错处理机制。 $(APPS) 在当前目录下的所有$APPS目录，即antelope unit-test。 在hello-world例子中，并没有这些目录。 所以APPDS变量是包含所有与$APPS有关的目录。 APPINCLUDES变量是所有需要导入的APP Makefile文件。 在所有APPDS目录下，所有Makefile.$(APPS)文件。 在我们的假设条件APPS = antelope unit-test， APPDIRS = 只会导入contiki-release-2-7/apps/antelope/Makefile.antelope contiki-release-2-7/apps/unit-test/Makefile.unit-test 其余的均不存在，所以在include指令前要有符号-，即出错继续执行后续指令。 contiki-release-2-7/apps/antelope/Makefile.antelope： 分别定义了两个变量，antelope_src用于保存antelope这个app的src文件，antelope_dsc用于保存antelope这个app的dsc文件。 contiki-release-2-7/apps/unit-test/Makefile.unit-test： 分别定义了两个变量，unit-test_src用于保存unit-test这个app的src文件，unit-tes_dsc用于保存unit-test这个app的dsc文件。 变量APP_SOURCES APP_SOURCES = ${foreach APP, $(APPS), $($(APP)_src)} 取出所有APPS中的src文件变量,这个例子是$(antelope_src) 和$(unit-test_src) 变量APP_SOURCES DSC_SOURCES = ${foreach APP, $(APPS), $($(APP)_dsc)} 取出所有APPS中的dsc文件变量,这个例子是$(antelope_dsc) 和$(unit-test_dsc) CONTIKI_SOURCEFILES += $(APP_SOURCES) $(DSC_SOURCES) 这段话的最终目的: 将$APPS相关的所有源文件添加进CONTIKI_SOURCEFILES变量中。 (3) target_makefile := $(wildcard $(CONTIKI)/platform/$(TARGET)/Makefile.$(TARGET) ${foreach TDIR, $(TARGETDIRS), $(TDIR)/$(TARGET)/Makefile.$(TARGET)}) Check if the target makefile exists, and create the object directory if necessary.ifeq ($(strip $(target_makefile)),)${error The target platform "$(TARGET)" does not exist (maybe it was misspelled?)}elseifneq (1, ${words $(target_makefile)})${error More than one TARGET Makefile found: $(target_makefile)}endifinclude $(target_makefile)endif 这断代码主要做的就是，找到在所有TAGET目录下找到符合的Makefile.$(TARGET)文件，放到target_makefile变量中。 再检查是否存在或者重复。并做相应的错误提示信息。 ${error The target platform "$(TARGET)" does not exist (maybe it was misspelled?)} ${error More than one TARGET Makefile found: $(target_makefile)} 我们这个例子中 TARGET = native 并且 TARGETDIRS为空 所以最后会导入$(CONTIKI)/platform/native/Makefile.native 接下去要开始分析target和cpu的makefile文件了。 转载于:https://www.cnblogs.com/songdechiu/p/6012718.html 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_34399060/article/details/94095820。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...1、引言 IM等社交应用的开发工作中，乱码问题也很常见，比如: 1）IM聊天消息中的Emoji表情为什么发给后端后MySQL数据库里会乱码； 2）文件名中带有中文的大文件聊天消息发送后，对方看到的文名是乱码； 3）Http rest接口调用时，后端读取到APP端传过来的参数有中文乱码问题； ... ... 那么，对于乱码这个看似不起眼，但并不是一两话能讲清楚的问题，是很有必要从根源了解字符集和编码原理，知其然知其所以然显然是一个优秀码农的基本素养，所以，便有了本文，希望能帮助到你。 推荐阅读：关于字符编码知识的详细讲解请见《字符编码那点事：快速理解ASCII、Unicode、GBK和UTF-8》。 学习交流： - 即时通讯/推送技术开发交流5群：215477170 [推荐] - 移动端IM开发入门文章：《新手入门一篇就够：从零开发移动端IM》 （本文同步发布于：http://www.52im.net/thread-2868-1-1.html） 2、关于作者 卢钧轶：爱捣腾Linux的DBA。曾任职于大众点评网DBA团队，主要关注MySQL、Memcache、MMM等产品的高性能和高可用架构。 个人微博：米雪儿侬好的cenalulu Github地址：https://github.com/cenalulu 3、系列文章 本文是IM开发干货系列文章中的第21篇，总目录如下： 《IM消息送达保证机制实现(一)：保证在线实时消息的可靠投递》 《IM消息送达保证机制实现(二)：保证离线消息的可靠投递》 《如何保证IM实时消息的“时序性”与“一致性”？》 《IM单聊和群聊中的在线状态同步应该用“推”还是“拉”？》 《IM群聊消息如此复杂，如何保证不丢不重？》 《一种Android端IM智能心跳算法的设计与实现探讨（含样例代码）》 《移动端IM登录时拉取数据如何作到省流量？》 《通俗易懂：基于集群的移动端IM接入层负载均衡方案分享》 《浅谈移动端IM的多点登陆和消息漫游原理》 《IM开发基础知识补课(一)：正确理解前置HTTP SSO单点登陆接口的原理》 《IM开发基础知识补课(二)：如何设计大量图片文件的服务端存储架构？》 《IM开发基础知识补课(三)：快速理解服务端数据库读写分离原理及实践建议》 《IM开发基础知识补课(四)：正确理解HTTP短连接中的Cookie、Session和Token》 《IM群聊消息的已读回执功能该怎么实现？》 《IM群聊消息究竟是存1份(即扩散读)还是存多份(即扩散写)？》 《IM开发基础知识补课(五)：通俗易懂，正确理解并用好MQ消息队列》 《一个低成本确保IM消息时序的方法探讨》 《IM开发基础知识补课(六)：数据库用NoSQL还是SQL？读这篇就够了！》 《IM里“附近的人”功能实现原理是什么？如何高效率地实现它？》 《IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路》 《IM开发基础知识补课(八)：史上最通俗，彻底搞懂字符乱码问题的本质》（本文） 4、正文概述 字符集和编码无疑是IT菜鸟甚至是各种大神的头痛问题。当遇到纷繁复杂的字符集，各种火星文和乱码时，问题的定位往往变得非常困难。 本文内容就将会从原理方面对字符集和编码做个简单的科普介绍，同时也会介绍一些通用的乱码故障定位的方法以方便读者以后能够更从容的定位相关问题。 在正式介绍之前，先做个小申明：如果你希望非常精确的理解各个名词的解释，那么可以详细阅读这篇《字符编码那点事：快速理解ASCII、Unicode、GBK和UTF-8》。 本文是博主通过自己理解消化后并转化成易懂浅显的表述后的介绍，会尽量以简单明了的文字来从要源讲解字符集、字符编码的概念，以及在遭遇乱码时的一些常用诊断技巧，希望能助你对于“乱码”问题有更深地理解。 5、什么是字符集 在介绍字符集之前，我们先了解下为什么要有字符集。 我们在计算机屏幕上看到的是实体化的文字，而在计算机存储介质中存放的实际是二进制的比特流。那么在这两者之间的转换规则就需要一个统一的标准，否则把我们的U盘插到老板的电脑上，文档就乱码了；小伙伴QQ上传过来的文件，在我们本地打开又乱码了。 于是为了实现转换标准，各种字符集标准就出现了。 简单的说：字符集就规定了某个文字对应的二进制数字存放方式（编码）和某串二进制数值代表了哪个文字（解码）的转换关系。 那么为什么会有那么多字符集标准呢？ 这个问题实际非常容易回答。问问自己为什么我们的插头拿到英国就不能用了呢？为什么显示器同时有DVI、VGA、HDMI、DP这么多接口呢？很多规范和标准在最初制定时并不会意识到这将会是以后全球普适的准则，或者处于组织本身利益就想从本质上区别于现有标准。于是，就产生了那么多具有相同效果但又不相互兼容的标准了。 说了那么多我们来看一个实际例子，下面就是“屌”这个字在各种编码下的十六进制和二进制编码结果，怎么样有没有一种很屌的感觉？ 6、什么是字符编码 字符集只是一个规则集合的名字，对应到真实生活中，字符集就是对某种语言的称呼。例如：英语，汉语，日语。 对于一个字符集来说要正确编码转码一个字符需要三个关键元素： 1）字库表（character repertoire）：是一个相当于所有可读或者可显示字符的数据库，字库表决定了整个字符集能够展现表示的所有字符的范围； 2）编码字符集（coded character set）：即用一个编码值code point来表示一个字符在字库中的位置； 3）字符编码（character encoding form）：将编码字符集和实际存储数值之间的转换关系。 一般来说都会直接将code point的值作为编码后的值直接存储。例如在ASCII中“A”在表中排第65位，而编码后A的数值是 0100 0001 也即十进制的65的二进制转换结果。 看到这里，可能很多读者都会有和我当初一样的疑问：字库表和编码字符集看来是必不可少的，那既然字库表中的每一个字符都有一个自己的序号，直接把序号作为存储内容就好了。为什么还要多此一举通过字符编码把序号转换成另外一种存储格式呢？ 其实原因也比较容易理解：统一字库表的目的是为了能够涵盖世界上所有的字符，但实际使用过程中会发现真正用的上的字符相对整个字库表来说比例非常低。例如中文地区的程序几乎不会需要日语字符，而一些英语国家甚至简单的ASCII字库表就能满足基本需求。而如果把每个字符都用字库表中的序号来存储的话，每个字符就需要3个字节（这里以Unicode字库为例），这样对于原本用仅占一个字符的ASCII编码的英语地区国家显然是一个额外成本（存储体积是原来的三倍）。算的直接一些，同样一块硬盘，用ASCII可以存1500篇文章，而用3字节Unicode序号存储只能存500篇。于是就出现了UTF-8这样的变长编码。在UTF-8编码中原本只需要一个字节的ASCII字符，仍然只占一个字节。而像中文及日语这样的复杂字符就需要2个到3个字节来存储。 关于字符编码知识的详细讲解请见：《字符编码那点事：快速理解ASCII、Unicode、GBK和UTF-8》。 7、UTF-8和Unicode的关系 看完上面两个概念解释，那么解释UTF-8和Unicode的关系就比较简单了。 Unicode就是上文中提到的编码字符集，而UTF-8就是字符编码，即Unicode规则字库的一种实现形式。 随着互联网的发展，对同一字库集的要求越来越迫切，Unicode标准也就自然而然的出现。它几乎涵盖了各个国家语言可能出现的符号和文字，并将为他们编号。详见：Unicode百科介绍。 Unicode的编号从 0000 开始一直到10FFFF 共分为17个Plane，每个Plane中有65536个字符。而UTF-8则只实现了第一个Plane，可见UTF-8虽然是一个当今接受度最广的字符集编码，但是它并没有涵盖整个Unicode的字库，这也造成了它在某些场景下对于特殊字符的处理困难（下文会有提到）。 8、UTF-8编码简介 为了更好的理解后面的实际应用，我们这里简单的介绍下UTF-8的编码实现方法。即UTF-8的物理存储和Unicode序号的转换关系。 UTF-8编码为变长编码，最小编码单位（code unit）为一个字节。一个字节的前1-3个bit为描述性部分，后面为实际序号部分： 1）如果一个字节的第一位为0，那么代表当前字符为单字节字符，占用一个字节的空间。0之后的所有部分（7个bit）代表在Unicode中的序号； 2）如果一个字节以110开头，那么代表当前字符为双字节字符，占用2个字节的空间。110之后的所有部分（5个bit）加上后一个字节的除10外的部分（6个bit）代表在Unicode中的序号。且第二个字节以10开头； 3）如果一个字节以1110开头，那么代表当前字符为三字节字符，占用3个字节的空间。110之后的所有部分（5个bit）加上后两个字节的除10外的部分（12个bit）代表在Unicode中的序号。且第二、第三个字节以10开头； 4）如果一个字节以10开头，那么代表当前字节为多字节字符的第二个字节。10之后的所有部分（6个bit）和之前的部分一同组成在Unicode中的序号。 具体每个字节的特征可见下表，其中“x”代表序号部分，把各个字节中的所有x部分拼接在一起就组成了在Unicode字库中的序号。如下图所示。 我们分别看三个从一个字节到三个字节的UTF-8编码例子： 细心的读者不难从以上的简单介绍中得出以下规律： 1）3个字节的UTF-8十六进制编码一定是以E开头的； 2）2个字节的UTF-8十六进制编码一定是以C或D开头的； 3）1个字节的UTF-8十六进制编码一定是以比8小的数字开头的。 9、为什么会出现乱码 乱码也就是英文常说的mojibake（由日语的文字化け音译）。 简单的说乱码的出现是因为：编码和解码时用了不同或者不兼容的字符集。 对应到真实生活中：就好比是一个英国人为了表示祝福在纸上写了bless（编码过程）。而一个法国人拿到了这张纸，由于在法语中bless表示受伤的意思，所以认为他想表达的是受伤（解码过程）。这个就是一个现实生活中的乱码情况。 在计算机科学中一样：一个用UTF-8编码后的字符，用GBK去解码。由于两个字符集的字库表不一样，同一个汉字在两个字符表的位置也不同，最终就会出现乱码。 我们来看一个例子，假设我们用UTF-8编码存储“很屌”两个字，会有如下转换： 于是我们得到了E5BE88E5B18C这么一串数值，而显示时我们用GBK解码进行展示，通过查表我们获得以下信息： 解码后我们就得到了“寰堝睂”这么一个错误的结果，更要命的是连字符个数都变了。 10、如何识别乱码的本来想要表达的文字 要从乱码字符中反解出原来的正确文字需要对各个字符集编码规则有较为深刻的掌握。但是原理很简单，这里用以MySQL数据库中的数据操纵中最常见的UTF-8被错误用GBK展示时的乱码为例，来说明具体反解和识别过程。 10.1 第1步：编码 假设我们在页面上看到“寰堝睂”这样的乱码，而又得知我们的浏览器当前使用GBK编码。那么第一步我们就能先通过GBK把乱码编码成二进制表达式。 当然查表编码效率很低，我们也可以用以下SQL语句直接通过MySQL客户端来做编码工作： mysql [localhost] {msandbox} > selecthex(convert('寰堝睂'using gbk)); +-------------------------------------+ | hex(convert('寰堝睂'using gbk)) | +-------------------------------------+ | E5BE88E5B18C | +-------------------------------------+ 1 row inset(0.01 sec) 10.2 第2步：识别 现在我们得到了解码后的二进制字符串E5BE88E5B18C。然后我们将它按字节拆开。 然后套用之前UTF-8编码介绍章节中总结出的规律，就不难发现这6个字节的数据符合UTF-8编码规则。如果整个数据流都符合这个规则的话，我们就能大胆假设乱码之前的编码字符集是UTF-8。 10.3 第3步：解码 然后我们就能拿着 E5BE88E5B18C 用UTF-8解码，查看乱码前的文字了。 当然我们可以不查表直接通过SQL获得结果： mysql [localhost] {msandbox} ((none)) > selectconvert(0xE5BE88E5B18C using utf8); +------------------------------------+ | convert(0xE5BE88E5B18C using utf8) | +------------------------------------+ | 很屌 | +------------------------------------+ 1 row inset(0.00 sec) 11、常见的IM乱码问题处理之MySQL中的Emoji字符 所谓Emoji就是一种在Unicode位于 \u1F601-\u1F64F 区段的字符。这个显然超过了目前常用的UTF-8字符集的编码范围 \u0000-\uFFFF。Emoji表情随着IOS的普及和微信的支持越来越常见。 下面就是几个常见的Emoji（IM聊天软件中经常会被用到）： 那么Emoji字符表情会对我们平时的开发运维带来什么影响呢？ 最常见的问题就在于将他存入MySQL数据库的时候。一般来说MySQL数据库的默认字符集都会配置成UTF-8（三字节），而utf8mb4在5.5以后才被支持，也很少会有DBA主动将系统默认字符集改成utf8mb4。 那么问题就来了，当我们把一个需要4字节UTF-8编码才能表示的字符存入数据库的时候就会报错：ERROR 1366: Incorrect string value: '\xF0\x9D\x8C\x86' for column 。 如果认真阅读了上面的解释，那么这个报错也就不难看懂了：我们试图将一串Bytes插入到一列中，而这串Bytes的第一个字节是 \xF0 意味着这是一个四字节的UTF-8编码。但是当MySQL表和列字符集配置为UTF-8的时候是无法存储这样的字符的，所以报了错。 那么遇到这种情况我们如何解决呢？ 有两种方式： 1）升级MySQL到5.6或更高版本，并且将表字符集切换至utf8mb4； 2）在把内容存入到数据库之前做一次过滤，将Emoji字符替换成一段特殊的文字编码，然后再存入数据库中。之后从数据库获取或者前端展示时再将这段特殊文字编码转换成Emoji显示。 第二种方法我们假设用 --1F601-- 来替代4字节的Emoji，那么具体实现python代码可以参见Stackoverflow上的回答。 12、参考文献 [1] 如何配置Python默认字符集 [2] 字符编码那点事：快速理解ASCII、Unicode、GBK和UTF-8 [3] Unicode中文编码表 [4] Emoji Unicode Table [5] Every Developer Should Know About The Encoding 附录：更多IM开发方面的文章 [1] IM开发综合文章： 《新手入门一篇就够：从零开发移动端IM》 《移动端IM开发者必读(一)：通俗易懂，理解移动网络的“弱”和“慢”》 《移动端IM开发者必读(二)：史上最全移动弱网络优化方法总结》 《从客户端的角度来谈谈移动端IM的消息可靠性和送达机制》 《现代移动端网络短连接的优化手段总结：请求速度、弱网适应、安全保障》 《腾讯技术分享：社交网络图片的带宽压缩技术演进之路》 《小白必读：闲话HTTP短连接中的Session和Token》 《IM开发基础知识补课：正确理解前置HTTP SSO单点登陆接口的原理》 《移动端IM开发需要面对的技术问题》 《开发IM是自己设计协议用字节流好还是字符流好？》 《请问有人知道语音留言聊天的主流实现方式吗？》 《一个低成本确保IM消息时序的方法探讨》 《完全自已开发的IM该如何设计“失败重试”机制？》 《通俗易懂：基于集群的移动端IM接入层负载均衡方案分享》 《微信对网络影响的技术试验及分析（论文全文）》 《即时通讯系统的原理、技术和应用（技术论文）》 《开源IM工程“蘑菇街TeamTalk”的现状：一场有始无终的开源秀》 《QQ音乐团队分享：Android中的图片压缩技术详解（上篇）》 《QQ音乐团队分享：Android中的图片压缩技术详解（下篇）》 《腾讯原创分享(一)：如何大幅提升移动网络下手机QQ的图片传输速度和成功率》 《腾讯原创分享(二)：如何大幅压缩移动网络下APP的流量消耗（上篇）》 《腾讯原创分享(三)：如何大幅压缩移动网络下APP的流量消耗（下篇）》 《如约而至：微信自用的移动端IM网络层跨平台组件库Mars已正式开源》 《基于社交网络的Yelp是如何实现海量用户图片的无损压缩的？》 《腾讯技术分享：腾讯是如何大幅降低带宽和网络流量的(图片压缩篇)》 《腾讯技术分享：腾讯是如何大幅降低带宽和网络流量的(音视频技术篇)》 《字符编码那点事：快速理解ASCII、Unicode、GBK和UTF-8》 《全面掌握移动端主流图片格式的特点、性能、调优等》 《子弹短信光鲜的背后：网易云信首席架构师分享亿级IM平台的技术实践》 《微信技术分享：微信的海量IM聊天消息序列号生成实践（算法原理篇）》 《自已开发IM有那么难吗？手把手教你自撸一个Andriod版简易IM (有源码)》 《融云技术分享：解密融云IM产品的聊天消息ID生成策略》 《适合新手：从零开发一个IM服务端（基于Netty，有完整源码）》 《拿起键盘就是干：跟我一起徒手开发一套分布式IM系统》 >> 更多同类文章 …… [2] 有关IM架构设计的文章： 《浅谈IM系统的架构设计》 《简述移动端IM开发的那些坑：架构设计、通信协议和客户端》 《一套海量在线用户的移动端IM架构设计实践分享(含详细图文)》 《一套原创分布式即时通讯(IM)系统理论架构方案》 《从零到卓越：京东客服即时通讯系统的技术架构演进历程》 《蘑菇街即时通讯/IM服务器开发之架构选择》 《腾讯QQ1.4亿在线用户的技术挑战和架构演进之路PPT》 《微信后台基于时间序的海量数据冷热分级架构设计实践》 《微信技术总监谈架构：微信之道——大道至简(演讲全文)》 《如何解读《微信技术总监谈架构：微信之道——大道至简》》 《快速裂变：见证微信强大后台架构从0到1的演进历程（一）》 《17年的实践：腾讯海量产品的技术方法论》 《移动端IM中大规模群消息的推送如何保证效率、实时性？》 《现代IM系统中聊天消息的同步和存储方案探讨》 《IM开发基础知识补课(二)：如何设计大量图片文件的服务端存储架构？》 《IM开发基础知识补课(三)：快速理解服务端数据库读写分离原理及实践建议》 《IM开发基础知识补课(四)：正确理解HTTP短连接中的Cookie、Session和Token》 《WhatsApp技术实践分享：32人工程团队创造的技术神话》 《微信朋友圈千亿访问量背后的技术挑战和实践总结》 《王者荣耀2亿用户量的背后：产品定位、技术架构、网络方案等》 《IM系统的MQ消息中间件选型：Kafka还是RabbitMQ？》 《腾讯资深架构师干货总结：一文读懂大型分布式系统设计的方方面面》 《以微博类应用场景为例，总结海量社交系统的架构设计步骤》 《快速理解高性能HTTP服务端的负载均衡技术原理》 《子弹短信光鲜的背后：网易云信首席架构师分享亿级IM平台的技术实践》 《知乎技术分享：从单机到2000万QPS并发的Redis高性能缓存实践之路》 《IM开发基础知识补课(五)：通俗易懂，正确理解并用好MQ消息队列》 《微信技术分享：微信的海量IM聊天消息序列号生成实践（算法原理篇）》 《微信技术分享：微信的海量IM聊天消息序列号生成实践（容灾方案篇）》 《新手入门：零基础理解大型分布式架构的演进历史、技术原理、最佳实践》 《一套高可用、易伸缩、高并发的IM群聊、单聊架构方案设计实践》 《阿里技术分享：深度揭秘阿里数据库技术方案的10年变迁史》 《阿里技术分享：阿里自研金融级数据库OceanBase的艰辛成长之路》 《社交软件红包技术解密(一)：全面解密QQ红包技术方案——架构、技术实现等》 《社交软件红包技术解密(二)：解密微信摇一摇红包从0到1的技术演进》 《社交软件红包技术解密(三)：微信摇一摇红包雨背后的技术细节》 《社交软件红包技术解密(四)：微信红包系统是如何应对高并发的》 《社交软件红包技术解密(五)：微信红包系统是如何实现高可用性的》 《社交软件红包技术解密(六)：微信红包系统的存储层架构演进实践》 《社交软件红包技术解密(七)：支付宝红包的海量高并发技术实践》 《社交软件红包技术解密(八)：全面解密微博红包技术方案》 《社交软件红包技术解密(九)：谈谈手Q红包的功能逻辑、容灾、运维、架构等》 《即时通讯新手入门：一文读懂什么是Nginx？它能否实现IM的负载均衡？》 《即时通讯新手入门：快速理解RPC技术——基本概念、原理和用途》 《多维度对比5款主流分布式MQ消息队列，妈妈再也不担心我的技术选型了》 《从游击队到正规军(一)：马蜂窝旅游网的IM系统架构演进之路》 《从游击队到正规军(二)：马蜂窝旅游网的IM客户端架构演进和实践总结》 《IM开发基础知识补课(六)：数据库用NoSQL还是SQL？读这篇就够了！》 《瓜子IM智能客服系统的数据架构设计（整理自现场演讲，有配套PPT）》 《阿里钉钉技术分享：企业级IM王者——钉钉在后端架构上的过人之处》 >> 更多同类文章 …… （本文同步发布于：http://www.52im.net/thread-2868-1-1.html） 本篇文章为转载内容。原文链接：https://blog.csdn.net/hellojackjiang2011/article/details/103586305。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...域需要远程屏幕传输的场景，这也是为什么这系列漏洞作者会关注这一块。 漏洞技术概况 Pavel总结到，在阶段漏洞挖掘中共上报11个漏洞。在披露邮件中描述了其中4个的技术细节，均在协议数据包处理代码中，漏洞类型古典，分别是全局缓冲区溢出、堆溢出和空指针解引用。其中缓冲区溢出类型漏洞可方便构造PoC，实现远程任意代码执行的漏洞利用。 漏洞本身原理简单，也并不是关键。以其中一个为例，Pavel在发现时负责任地向LibVNC作者提交了issue，并跟进漏洞修复过程；在第一次修复之后，复核并指出修复代码无效，给出了有效patch。这个过程是常规操作。 漏洞疑点 有意思的是，在漏洞披露邮件中，Pavel重点谈了自己对这系列漏洞的一些周边发现，也是这里提到的原因。其中，关于存在漏洞的代码，作者表述： 我最初认为，这些问题是libvnc开发者自己代码中的错误，但看起来并非如此。其中有一些（如CoRRE数据处理函数中的堆缓冲区溢出），出现在AT&T实验室1999年的代码中，而后被很多软件开发者原样复制（在Github上搜索一下HandleCoRREBPP函数，你就知道），LibVNC和TightVNC也是如此。 为了证实，翻阅了这部分代码，确实在其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...at double 字符型 char 布尔型 boolean 它们都有对应的包装类型(如果没有特殊说明，下面都是说包装类型)，其中整型和浮点型的基类都是Number，并且都是现实了Comparable接口，下面的内容以Integer为例，Byte,Short,Integer,Long只有整型长度上的区别，其他都是类似的。 Integer内部结构 类的内部数据结构是很简单的，只是简单包含了一个基本类型数据，并且提供了一些对基本类型的常见操作。 public final class Integer extends Number implements Comparable { //more code... / The value of the Integer. @serial / private final int value; //more code... } Integer的hashCode、equals和Comparable接口 Integer实现了Comparable接口，内部只是简单使用value值进行比较。还实现了hashCode和equals方法，不过equals还是会进行类型的对比，这也是equal实现的一个基本原则。所以Integer和Long是无论如何都不会相等的。 public int hashCode() { return value; } public boolean equals(Object obj) { if (obj instanceof Integer) { return value == ((Integer)obj).intValue(); } return false; } Integer内部缓存对象 或许你看过一些面试题，使用==来比较进行包装类型的比较，有时候会返回true，这有点不合常理。这个可以通过源码来解释。以Integer它在内部预先定义了一小段Integer对象(见IntegerCache的实现，high的范围还可以通过系统参数java.lang.Integer.IntegerCache.high设置)，并在valueOf调用时判断是否落在这个范围，如果范围合适，返回现成的对象。由于Integer是不变对象，所以它的复用是没有任何隐患的。 public static Integer valueOf(int i) { if(i >= -128 && i <= IntegerCache.high) return IntegerCache.cache[i + 128]; else return new Integer(i); } 话虽如此，但这只是一个优化手段，平时是不应该使用==来进行判断对象是否相等的。 Integer和字符串的相互转换 整型和字符串的相互转换也是常用的功能。看一下Integer转换成字符串的源码。 public static String toString(int i, int radix) { if (radix < Character.MIN_RADIX || radix > Character.MAX_RADIX) radix = 10; / Use the faster version / if (radix == 10) { return toString(i); } char buf[] = new char[33]; boolean negative = (i < 0); int charPos = 32; if (!negative) { i = -i; } while (i <= -radix) { buf[charPos--] = digits[-(i % radix)]; i = i / radix; } buf[charPos] = digits[-i]; if (negative) { buf[--charPos] = '-'; } return new String(buf, charPos, (33 - charPos)); } 算法还是比较简单的，就是根据基数radix不断对这个整数取余数，根据余数找到从digits数组中找到对应字符。这里需要注意的是， 为什么正数要取反使用负数而不是反过来呢，用正数不是更好处理么？其实，这涉及到是否溢出的问题，对于最小的整数integer，取反就会出现移除，还是一个负数，这样就有问题了。 还有一个功能是把整数换成16进制(toHexString)、8进制(toOctalString)或2进制的字符串(toBinaryString)，它最终是调用toUnsignedString实现的。 / Convert the integer to an unsigned number. / private static String toUnsignedString(int i, int shift) { char[] buf = new char[32]; int charPos = 32; int radix = 1 << shift; int mask = radix - 1; do { buf[--charPos] = digits[i & mask]; i >>>= shift; } while (i != 0); return new String(buf, charPos, (32 - charPos)); } 以16进制为例子，shift就是4，得到的mark就是1111，i和mask做与运算后就可以得到在16进制中字符数组的位置，从而得到这4位对应的16进制字符，最后通过右移就抹掉这低4位。 Integer类中有许多方法是和位操作相关的。待后续详解。 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_33130645/article/details/114425171。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...actly one character ‘a’ somewhere in s . If it is possible to create a string that is not a palindrome, you should find one example. Otherwise, you should report that it is impossible. For example, suppose s= “cbabc”. By inserting an ‘a’, you can create “acbabc”, “cababc”, “cbaabc”, “cbabac”, or “cbabca”. However “cbaabc” is a palindrome, so you must output one of the other options. Input The first line contains a single integer t (1≤t≤104 ) — the number of test cases. The only line of each test case contains a string s consisting of lowercase English letters. The total length of all strings does not exceed 3⋅105 . Output For each test case, if there is no solution, output “NO”. Otherwise, output “YES” followed by your constructed string of length |s|+1 on the next line. If there are multiple solutions, you may print any. You can print each letter of “YES” and “NO” in any case (upper or lower). Example Input Copy 6 cbabc ab zza ba a nutforajaroftuna Output Copy YES cbabac YES aab YES zaza YES baa NO YES nutforajarofatuna Note The first test case is described in the statement. In the second test case, we can make either “aab” or “aba”. But “aba” is a palindrome, so “aab” is the only correct answer. In the third test case, “zaza” and “zzaa” are correct answers, but not “azza”. In the fourth test case, “baa” is the only correct answer. In the fifth test case, we can only make “aa”, which is a palindrome. So the answer is “NO”. In the sixth test case, “anutforajaroftuna” is a palindrome, but inserting ‘a’ elsewhere is valid. 题意： 给你一个字符串，然后你可以通过在任意位置上+‘a’，然后让这个字符串不是回文字符串，如果实在无法让字符串变成非回文，则输出NO。 思路： 我们可以判断出只有全为a的回文字符串才会+‘a’后无法变成非回文串，其他的都可以在任意位置上“a”，使字符串变成非回文串，那我们可以直接在首或者尾“a”，然后循环判断是否为回文，输出非回文的那一种就可以了。 代码： include<bits/stdc++.h>using namespace std;bool judge(string p){for(int i=0,j=p.size()-1;i<j;i++,j--){if(p[i]!=p[j])return true;}return false;}int main (){int t;cin>>t;while(t--){string ch;cin>>ch;int f=0;for(int i=0;i<ch.size();i++){if(ch[i]!='a'){f=1;break;} }if(f==0){cout<<"NO"<<endl;}else{string ch1,ch2;ch1="a"+ch;ch2=ch+"a";if(judge(ch1)){cout<<"YES"<<endl;cout<<'a';for(int i=0;i<ch.size();i++) cout<<ch[i];cout<<endl;}else{if(judge(ch2)) {cout<<"YES"<<endl;for(int i=0;i<ch.size();i++) cout<<ch[i];cout<<'a';cout<<endl;}elsecout<<"NO"<<endl;} }}return 0;} B. Flip the Bits time limit per test 1 second memory limit per test 256 megabytes input standard input output standard output There is a binary string a of length n. In one operation, you can select any prefix of a with an equal number of 0 and 1 symbols. Then all symbols in the prefix are inverted: each 0 becomes 1 and each 1 becomes 0 For example, suppose a=0111010000 since it has four 0’s and four 1’s: [01110100]00→[10001011]00 In the second operation, we can select the prefix of length 2 since it has one 0 and one 1: [10]00101100→[01]00101100 It is illegal to select the prefix of length 4 for the third operation, because it has three 0’s and one Can you transform the string a into the string b using some finite number of operations (possibly, none)? Input The first line contains a single integer t (1≤t≤104) — the number of test cases. The first line of each test case contains a single integer n (1≤n≤3⋅105) — the length of the strings a and b The following two lines contain strings a and b of length n, consisting of symbols 0 and 1 The sum of n across all test cases does not exceed 3⋅105 Output For each test case, output “YES” if it is possible to transform ainto b, or “NO” if it is impossible. You can print each letter in any case (upper or lower). Example Input Copy 5 10 0111010000 0100101100 4 0000 0000 3 001 000 12 010101010101 100110011010 6 000111 110100 Output Copy YES YES NO YES NO Note The first test case is shown in the statement. In the second test case, we transform a into b by using zero operations. In the third test case, there is no legal operation, so it is impossible to transform a into b . In the fourth test case, here is one such transformation: Select the length 2 prefix to get 100101010101 . Select the length 12 prefix to get 011010101010 . Select the length 8 prefix to get 100101011010 . Select the length 4 prefix to get 011001011010 . Select the length 6 prefix to get 100110011010 In the fifth test case, the only legal operation is to transform a into 111000. From there, the only legal operation is to return to the string we started with, so we cannot transform a into b 题意： 给你一个字符串a，b，由0,1组成，然后只有在字符串下标i前面的0,1个数相同时，你可以进行把0->1,1->0,然后看是否能进行一些操作把字符串a变成b。 思路： 这题思路有点难想，你看，它每次个数相同时，都可以进行操作，所以我们从后往前进行操作，因为如果从前往后，小区间会影响大区间的，所以从大区间向小区间进行，然后遍历字符串，将每一位的0,1的个数进行计算，然后将a，b不相同的下标进行标记为1，代表需要改变。 从后遍历，cnt进行次数，因为如果是奇数的话，才会变成不一样的数字，偶数的话，区间变化会使它变回去了，在判断当前位之前，我们先看之前的大区间的变化将当前第i位变成了什么，因为只有0,1，跟标记的0,1是代表他是否需要变化，假如说：原先为0，他后面的区间将它变化了奇数次，那么它就现在是需要变化的才能变成吧b。原先为1，它后面的区间将它变化了偶数次，就还是1。如果这个下标的标记为1，代表需要被变化，我们就判断当前位的0,1个数是否相同，相同的话就代表了一次变化cnt++，否则就退出无法变成b了，因为之后没有区间将它再次变化了。然后我们就可以判断了 代码： include<bits/stdc++.h>using namespace std;const int N=3e5+7;int s0[N],s1[N];int a[N],b[N],p[N];int main (){int t;cin>>t;while(t--){int n;cin>>n;string a,b;cin>>a>>b;memset(p,0,sizeof p);for(int i=0;i<n;i++){if(a[i]=='0'){s0[i]=s0[i-1]+1;s1[i]=s1[i-1];}else{s1[i]=s1[i-1]+1;s0[i]=s0[i-1];}if(a[i]!=b[i]){p[i]=1;//是否相同的标记} }int cnt=0;int f=0;for(int i=n-1;i>=0;i--){if(cnt%2==1){//奇数次才会被变化p[i]=1-p[i];}//而且必须在前面判这一步，因为你得先看后面的区间将这一位变成了什么if(p[i]){if(s0[i]==s1[i]) cnt++;//0,1相同时才可以进行一次变化else {f=1;break;} }}if(f==1){cout<<"NO"<<endl;}else{cout<<"YES"<<endl;} }return 0;}//这个就利用了一个标记来判断当前为被影响成了什么/01 01 01 01 01 0110 01 10 01 10 10100101010101011010101010100101011010011001011010100110011010Select the length 12prefix to get.Select the length 8prefix to get.Select the length 4prefix to get.Select the length 6prefix to get01 110100 0001 001011 00/ C. Balance the Bits time limit per test 1 second memory limit per test 256 megabytes input standard input output standard output A sequence of brackets is called balanced if one can turn it into a valid math expression by adding characters ‘+’ and ‘1’. For example, sequences ‘(())()’, ‘()’, and ‘(()(()))’ are balanced, while ‘)(’, ‘(()’, and ‘(()))(’ are not. You are given a binary string s of length n. Construct two balanced bracket sequences a and b of length n such that for all 1≤i≤n if si=1, then ai=bi if si=0, then ai≠bi If it is impossible, you should report about it. Input The first line contains a single integer t (1≤t≤104) — the number of test cases. The first line of each test case contains a single integer n (2≤n≤2⋅105, nis even). The next line contains a string sof length n, consisting of characters 0 and 1.The sum of nacross all test cases does not exceed 2⋅105. Output If such two balanced bracked sequences exist, output “YES” on the first line, otherwise output “NO”. You can print each letter in any case (upper or lower). If the answer is “YES”, output the balanced bracket sequences a and b satisfying the conditions on the next two lines.If there are multiple solutions, you may print any. Example Input Copy 3 6 101101 10 1001101101 4 1100 Output Copy YES ()()() ((())) YES ()()((())) (())()()() NO Note In the first test case, a= “()()()” and b="((()))". The characters are equal in positions 1, 3, 4, and 6, which are the exact same positions where si=1 .In the second test case, a= “()()((()))” and b="(())()()()". The characters are equal in positions 1, 4, 5, 7, 8, 10, which are the exact same positions where si=1 In the third test case, there is no solution. 题意： 一个n代表01串的长度，构造两个长度为n的括号序列，给你一个01串，代表着a，b两个序列串字符不相同。然后你来判断是否有合理的a，b串。有的话输出。 思路： 这题想了很久想不明白，看了大佬的题解，迷迷糊糊差不多理解吧。这题是这样的，就是： （1）第一步得合法的字符串，所以首尾得是相同的且都为1 （2）第二步，因为01串长度为偶数，所以如果合法的话，得（ 的个数= ) 的个数，然后你想呀，假如为 ()()()()吧，然后你有一个0破坏了一个括号，但如果合法的话，是不是得还有一个0再破坏一个括号，然后被破坏的这俩个进行分配才能合理，所以如果合法的话，01串得0的个数为偶数，1的个数自然而然为偶数吧。 （3）最后一步构造，既然1的个数为偶数，首尾又都为1，所以1的个数前sum1/2个1构造为‘（ ’，后sum1/2个构造为‘）’，然后我们1的所有的目前是合法的，然后剩下的0也是偶数的，然后如果让他们合法进行分配就（ ）间接进行就可以了，然后我们根据01串将b构造出来。合法的核心就是当前位的（个数大于等于），所以我们在循环进行判断一下a，b串是否都满足，（其实我觉得这么构造出来，a必然合理呀，其实就判b就行了，我保险起见都判了）。 代码： include<bits/stdc++.h>using namespace std;const int N=3e5+7;char a[N],b[N];int main (){int t;cin>>t;while(t--){int n;cin>>n;string s;cin>>s;if(s[0]!=s[n-1]&&s[0]!='1'){cout<<"NO"<<endl;}else{int sum1=0,sum0=0;for(int i=0;i<s.size();i++){if(s[i]=='1') sum1++;else sum0++;}if(sum1%2!=0||sum0%2!=0){cout<<"NO"<<endl;}else{int cnt1=0,cnt0=1;for(int i=0;i<n;i++){if(s[i]=='1'&&cnt1<sum1/2){a[i]='(';cnt1++;}else if(s[i]=='1'&&cnt1>=sum1/2){a[i]=')';cnt1++;}else if(s[i]=='0'&&cnt0%2==1){a[i]='(';cnt0++;}else if(s[i]=='0'&&cnt0%2==0){a[i]=')';cnt0++;}//cout<<a[i]<<endl;}for(int i=0;i<n;i++){if(s[i]=='0'){if(a[i]=='(') b[i]=')';else b[i]='(';}else{b[i]=a[i];}//cout<<b[i]<<endl;}// cout<<"YES"<<endl;int f=0;int s0=0,s1=0;for(int i=0;i<n;i++){if(a[i]=='(') s0++;else if(a[i]==')') s1++;if(s0<s1) {f=1;break;} }s0=0,s1=0;for(int i=0;i<n;i++){if(b[i]=='(') s0++;else if(b[i]==')') s1++;if(s0<s1) {f=1;break;} }if(f==0){cout<<"YES"<<endl;for(int i=0;i<n;i++) cout<<a[i];cout<<endl;for(int i=0;i<n;i++) cout<<b[i];cout<<endl;}else{cout<<"NO"<<endl;} }} }return 0;}/01 01 01 01 01 0110 01 10 01 10 10100101010101011010101010100101011010011001011010100110011010Select the length 12prefix to get.Select the length 8prefix to get.Select the length 4prefix to get.Select the length 6prefix to get01 110100 0001 001011 00/ 本篇文章为转载内容。原文链接：https://blog.csdn.net/lvy_yu_ET/article/details/115575091。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...有要求响应较快的查询场景。你会如何选型？ mysql、mongo、elasticsearch等完全可以，当然，你肯定不会忘了hbase。“海量数据存储”的海量，非hbase莫属。 几种常见数据库的对比如下： 2. hbase应用场景 如果你的查询场景就是根据key拿到结果，没有其它的过滤筛选条件，这就是经典的“点查”，“点查”在hbase上是非常合适的。 当然，除了hbase，还有很多适合“点查”的数据库，比如aws的dynamodb、google的bigtable。但一般公司或自用站点，还是用hbase更合适。 不用很纠结技术选型，hbase依旧非常经典，而且版本也在源源不断的迭代，适合自己的就是最好的。 3. hbase安装依赖 如果你的机器资源不足或只有一两台机器的站点，那么不建议使用hbase，因为它严格依赖hdfs存储系统和hadoop计算架构，以及zookeeper。 如果你的机器配置不高，在安装完这一些，还没安装完hbase的时候，内存就已经被占据了不少了。 4. 场景解析 本篇文章更关注于选型的探讨，不涉及原理的解析。所以当什么场景下应该会使用到hbase，我们再来回顾一下。 hbase的查询方式是通过rowkey做交互。所以，如果你的查询能够抽象为用rowkey直接获取，那么就适合用hbase查询。 这里的rowkey不仅仅是一个id或uuid，它甚至可以是几个字段组成的一个有限长度的字符串，比如“zhangsan-18-beijing”都是可以的。 但是，hbase不能带有其它的filter，比如你要过滤age<18，虽然可以使用hbase的一些协处理器实现，但性能会十分让你惊讶。性能是不好的。 所以，如果你的查询能够抽象为有意义的rowkey，那直接用hbase存储和查询是没有问题的。而且要注意rowkey的长度和散列，太长的rowkey会带来性能的损失，不具备散列特性的rowkey会带来热点问题。 5 自定义过滤下的hbase 从本篇文章的第一小节可以看到，极好的一列出现了三位选手：hbase、redis和elasticsearch 大数据情况下，或海量数据场景下，咱就先让redis休个假吧。如果你的数据较为海量，使用elasticsearch+hbase的搜索存储架构是非常好的选择。 这里引用阿里云的一篇文章：https://developer.aliyun.com/article/941191 6 总结 只有点查的场景，你只需要使用hbase。 只有搜索的场景，其实你完全可以只使用elasticsearch。 但当数据量不断扩大，而且参数搜索的字段可能只是所有字段的一部分，你不妨使用elasticsearch+hbase架构。搜索字段放elasticsearch，需要拿出来数据计算或展示的字段放hbase。各司其职，索引库+存储库分离。 索引库+存储库这个思想也不是为elasticsearch+hbase特定准备的，比如索引库你可以替换为lucene或solr，存储库可以替换为casandra或berkeleydb等都是可以的。任意两个组件都可以组合。

...更复杂的JSON操作场景以及JavaScript中处理JSON的高级技巧。近日，随着Web服务和API接口的广泛应用，JSON作为数据交换的标准格式，其解析与操作的重要性日益凸显。 例如，2023年5月，Node.js社区发布了一篇关于优化JSON性能的文章，其中详述了如何利用最新版本V18中的JSON.parse()方法的新特性提高大数据量JSON解析速度。通过引入新的Streaming API和改进的内存管理机制，开发者可以更高效地处理大规模JSON数据流，并动态获取嵌套数组或对象的名字及其对应值。 另外，对于那些需要深度访问JSON结构的应用场景，如配置文件解析、复杂状态管理等，JavaScript提供了诸如Lodash这样的工具库，提供了诸如_.get()、_.set()等便捷方法，使得根据路径字符串动态获取或设置JSON任意层级的数据成为可能，大大提升了开发效率及代码可读性。 同时，针对安全性考量，在实际项目中处理JSON时应确保进行有效的数据验证和错误处理，防止因恶意构造或意外损坏的JSON数据导致的安全漏洞。例如，使用AJV等JSON Schema验证库，可以在数据解析前对其进行严格校验，从而降低潜在风险。 综上所述，对JSON数组名值获取的基础理解是前端乃至全栈开发者的必备技能之一，而随着技术发展和安全需求的提升，掌握更多先进的JSON处理策略与工具将为开发者应对各种复杂应用场景提供有力支持。

...）等Vue高级特性的应用场景，帮助开发者提升组件化开发效率。 另外，InfoQ的一篇报道《Vue.js在大型项目中的CSS类管理策略》也值得一看，文中不仅回顾了v-bind:class的基本用法，还分享了一些实际项目中如何结合模块化、CSS预处理器等工具进行复杂场景下的class动态管理，这对于面临大规模应用架构挑战的前端开发者具有很高的参考价值。 最后，Vue社区的一些教程如"Vue Conditional Classes: The Complete Guide"，提供了大量实战案例，引导读者逐步掌握条件class的各种绑定技巧，包括但不限于基于状态切换、事件驱动、以及与其他Vue指令如v-if、v-for等协同工作的方法，为读者深化Vue技能树提供有力支撑。

...Query是一个广泛应用于前端开发的JavaScript库，它简化了HTML文档遍历、事件处理、动画设计以及Ajax交互等功能。在本文中，虽然提到了jQuery能提供便捷的方法进行字符串操作，但实际演示代码并未使用到jQuery的特定方法，而是采用了JavaScript原生的split()方法。 JavaScript原生方法 , JavaScript原生方法是指由JavaScript语言本身提供的内置函数或属性，无需引入任何外部库即可直接使用。在本文中，split()就是一个JavaScript原生方法，用于将一个字符串分割成数组，根据指定的分隔符对字符串进行切分。 split()方法 , split()是JavaScript中的字符串对象方法，其作用是按照指定的分隔符（可以是一个字符或正则表达式）将字符串切割成多个子字符串，并以数组的形式返回结果。在本文示例中，通过str.split( , )，我们将包含逗号的字符串“hello,world,how,are,you”分割成了一个元素为“hello”，“world”，“how”，“are”和“you”的数组。这个方法对于前端开发者来说非常实用，常用于处理CSV数据、URL参数解析等各种需要拆分字符串的场景。

...ry选择器定位以特定字符开头的ID元素后，进一步探究现代前端开发中DOM操作和选择器的最新趋势与发展是十分有益的。例如，随着JavaScript语言的持续进化和Web API的丰富，原生JavaScript的选择器性能也在不断提升。目前，querySelectorAll方法在很多情况下可以替代jQuery的选择器功能，它允许开发者根据CSS选择器查找并返回页面上的元素集合。 近期，一项由MDN Web Docs发起的研究表明，对于简单的DOM查询与操作，原生JavaScript在速度上已经不逊于甚至超越了许多流行的库（如jQuery），这鼓励更多开发者回归原生API以优化性能。同时，诸如Sizzle等独立的选择器引擎项目，不仅为jQuery提供支持，也能被其他库或框架集成，提高了跨平台和跨项目的兼容性及效率。 此外，考虑到现代浏览器对ES6及以上版本特性的广泛支持，如箭头函数、let/const声明以及模板字符串等，使得直接使用JavaScript进行DOM操作更为简洁高效。例如，利用“Node.matches()”方法配合CSS选择器，可以实现与jQuery类似的元素筛选功能，且具备良好的浏览器兼容性。 综上所述，尽管jQuery在简化DOM操作方面曾发挥巨大作用，但随着JavaScript生态的发展，理解和掌握原生API及其最佳实践已成为现代前端开发者的重要技能之一。了解和对比不同选择器方案的优缺点，并结合实际应用场景灵活运用，有助于我们构建更为快速、轻量级的Web应用。