- 博客(315)
- 资源 (11)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 SQL Server 数据库 的通信加密配置SSL安全连接
在RDS SQL Server实例中开启SSL加密后,应用端或客户端在连接实例时需要配置SSL CA证书。例如,选择TLS 1.1,则表示服务端仅接受TLS 1.1和1.2协议版本的客户端连接请求,通过TLS 1.0建立连接的客户端会被拒绝连接。:Java中的truststore证书存储文件,密码统一为apsaradb,用于Java程序中导入CA证书链。,它可以在SSL握手阶段验证收到的服务器证书,以确认RDS SQL Server的身份,避免中间人攻击。,且连接无需上传CA证书,不再支持非加密连接方式。
2025-12-08 19:58:12
779
原创 文件上传漏洞:数字世界的“特洛伊木马”
文件上传漏洞之所以危险,不仅在于其技术实现简单,更在于它往往直接通向服务器的核心。随着应用架构的复杂化,文件上传功能的风险面也在不断扩大。防御这一漏洞需要多层次、立体化的安全策略,从代码开发到服务器配置,从静态检测到动态监控,每个环节都至关重要。对于开发者而言,应当牢记“永不信任用户输入”这一黄金法则;对于安全人员,则需要持续关注新型绕过技术和防御手段。在这个数字化时代,文件上传漏洞的攻防战仍将长期持续,唯有保持警惕、持续学习,才能确保我们的数字资产安全无虞。
2025-12-05 11:45:13
716
原创 《个人信息保护法》的六大核心支柱
个保法首次在法律层面明确定义个人信息为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。这一开放式的定义涵盖了从姓名、身份证号等直接标识符到行踪轨迹、健康信息等敏感内容的广泛范畴。法律确立了个人信息处理的五大基本原则:合法正当必要诚信原则、目的明确与最小必要原则、公开透明原则、准确完整原则以及责任保障原则。这些原则共同构成了个人信息处理的“宪法性约束”,要求任何处理行为必须具有正当性基础,且不得超过实现目的的必要范围。
2025-12-05 11:40:07
581
原创 ip可以伪造吗
特性IP欺骗代理/VPN本质伪造数据包源头地址通过中介服务器中转流量能否双向通信不能(无法完成TCP握手)能主要用途DDoS攻击、某些扫描探测隐私保护、绕过审查、访问地域内容技术难度相对较低,但受限制多使用简单,配置即用被追踪难度单向攻击难溯源,但双向通信中无效对普通网站有效,但对有能力者可通过其他手段分析IP地址可以在数据包层面被伪造,但这种伪造在需要双向交互的实际应用(上网、游戏、登录)中是无效且无用的。对于普通用户来说,想“改变”自己呈现给外界的IP,唯一有效且实用的方法就是使用。
2025-12-05 11:34:05
791
原创 用户名密码+图形验证码,算MFA双因素认证吗
真正的多因素认证要求用户提供来自至少两个不同类别(因素)的凭据。你知道的东西。例子:密码、PIN码、安全问题的答案。你拥有的东西。例子:手机(接收短信/验证码)、硬件安全密钥、智能卡、认证器App(如Google Authenticator,基于设备生成代码)。你自身固有的特征。例子:指纹、面部识别、虹膜扫描、声纹。MFA的关键在于“不同类别”。使用同一类别的两种东西,不能称为多因素。特性用户名密码 + 图形验证码真正的MFA(如:密码+短信验证码)因素类别单因素(全部为“知识因素”)
2025-12-05 11:29:35
917
原创 CSRF Token:网络应用安全的关键防线——深度解析与实战指南
CSRF Token(跨站请求伪造令牌)是一种服务器生成的、不可预测的随机值,嵌入在Web表单或HTTP请求中,用于验证请求是否确实来自合法用户的真实意图,而不是恶意网站伪造的请求。简单来说:CSRF Token就像是银行交易中的动态验证码,确保每笔敏感操作都经过你的明确授权。必要性:CSRF攻击利用用户的登录状态执行未经授权的操作,Token是有效的防御手段实现多样性:从传统的同步器Token到现代的加密Token、双重Cookie验证,有多种实现方式安全增强。
2025-12-05 10:03:12
906
原创 透明数据加密(TDE):数据库层面的全面数据保护机制详解
透明数据加密(Transparent Data Encryption, TDE)是一种在数据库层面实现的数据安全技术,它对整个数据库文件进行实时加密和解密,而无需修改应用程序代码。当启用TDE时,数据库中的所有数据文件(包括数据文件、日志文件、备份文件等)都会被加密,这种加密对访问数据库的应用程序和用户是"透明"的——他们无需知道数据是否加密,也无需更改查询方式。
2025-12-05 09:44:48
586
原创 数据库连接采用TLS 1.3加密传输的完整实现详解
数据库连接采用TLS 1.3加密是现代数据安全的基础要求。TLS 1.3作为目前最新、最安全的传输层安全协议,相比之前版本提供了更强的安全性、更快的连接速度和更简洁的握手过程。本文将详细解析数据库连接如何实现TLS 1.3加密传输。
2025-12-05 09:26:57
941
原创 现代身份认证安全体系:从登录到MFA的全面防护方案
《现代身份认证技术演进与实践指南》摘要 本文系统阐述了从基础密码到生物识别的身份认证技术发展历程,重点分析了三大认证因素(知识、持有、生物)的演变与安全特性。文章详细解析了单点登录(SSO)协议、多因素认证(MFA)实现方案(包括TOTP和WebAuthn),并提出了分层防御的现代认证架构设计,涵盖零信任原则和自适应风险评估策略。通过分阶段实施路线图、攻击防护措施及合规性指南,为组织提供了平衡安全与用户体验的实践方案,同时展望了无密码认证、量子安全算法等未来趋势。
2025-12-04 15:13:36
721
原创 跨站请求伪造(CSRF):原理、攻击与防御全解析
CSRF攻击与防御全解析 CSRF(跨站请求伪造)是一种利用用户已登录状态发起恶意请求的攻击方式。攻击者通过诱导用户访问恶意页面,浏览器自动携带会话Cookie,伪造合法请求执行转账、改密等操作。 攻击类型:包括GET型(图片/iframe触发)、POST型(表单自动提交)和复杂JSON/XML请求。典型案例涉及GitHub、Netflix等平台,甚至可攻击路由器重置设置。 防御方案: 令牌验证:同步令牌或双重Cookie验证,确保请求来源合法。 SameSite Cookie:限制跨站Cookie携带(推
2025-12-04 10:02:20
998
原创 GDPR数据保护规范是什么
是欧盟于2018年5月25日生效的综合性数据保护法规,旨在强化个人数据权利、统一欧盟数据保护规则,并对全球处理欧盟公民数据的企业产生约束力。例如:中国企业向欧盟用户提供商品或服务,或监控其行为(如使用Cookies)时,需遵守GDPR。实际案例:亚马逊(2021年,7.46亿欧元)、Meta(2023年,12亿欧元)。:若向欧盟提供商品/服务(如电商、游戏、APP)或监控用户行为,必须合规。:拒绝仅通过自动化处理(如算法)做出的重大决策(如信用评估)。:高风险处理活动(如大规模监控)前需评估风险。
2025-12-04 09:27:07
514
原创 PCI DSS支付卡行业数据安全标准指的是什么
是的简称。它是一个由全球五大支付品牌(美国运通、Discover、JCB、万事达和维萨)联合成立的制定和维护的强制性安全标准。简单来说,。
2025-12-03 12:02:03
279
原创 什么是OWASP Top 10安全标准?
是一个由发布的、最权威的全球性Web应用程序安全风险清单。它不是一份技术标准,而是一份简单来说,它就像是网络安全领域的“通缉令”,告诉你当前最需要防范的前十大威胁是什么。
2025-12-03 11:55:05
726
原创 一个非专业工程师,利用AI帮助,可以开发出伟大的软件吗;那么工程师的价值在哪里?
非工程师 + AI,能做出不错的软件。这是 AI 的巨大价值。想做出“伟大软件”,仍然需要工程师的专业能力。AI 提升的是“生产力”,工程师提供的是“正确性 + 可扩展性 + 可靠性”。
2025-11-25 16:00:02
273
原创 懂计算机皮毛的人都可以用AI写代码,工程师的价值何在?
最顶尖的开发者首先是问题的敏锐发现者。他们能洞察到用户自己都未曾察觉的“痛点”和“痒点”。AI只能根据你给出的指令工作,它无法主动告诉你“用户需要什么”。
2025-11-25 11:34:09
696
原创 什么叫做哈希碰撞?
哈希函数是一类把任意长度输入(字符串、文件、URL 等)映射为固定长度输出(称为哈希值、摘要、digest)的函数。常见的哈希输出形式是二进制或十六进制串,例如:MD5 输出 128 位(16 字节),常以 32 字节十六进制表示;SHA-256 输出 256 位(32 字节)。哈希函数常用场景:校验数据完整性、做字典/索引加速、密码学(消息摘要)、去重、唯一性校验等。重要性质(通常希望)定长输出(不随输入长度变化);计算快速;小改动导致输出大幅变化(雪崩效应);对于加密哈希。
2025-11-14 15:12:42
963
原创 HASHBYTES(‘SHA2_256‘, @link) 和md5(@link) 有什么差别
结论原因推荐:SHA2_256安全、碰撞概率极低、适合作为索引 key不推荐:MD5已出现碰撞案例,安全性弱性能影响几乎忽略不计安全远比 5% 的速度重要。
2025-11-14 15:03:55
376
原创 SqlServer字段类型:varchar(6000)如何创建索引
SQL Server 普通 index 的 key size 最佳不要超过 900 bytes。最大可达 6000 bytes —— 远超 900 byte 限制。这里加原字段比对,是行业最佳实践,用于避免极小概率的 hash 碰撞。因为你实际查询是 “等于某个 URL”,而不是 like 搜索。做索引,而不是对 6000 字节的长字符做索引。这样得到的哈希值大小不大,索引占用低,匹配速度快。你的查询是典型等值匹配 → 哈希索引是最优方案。索引 key 超过 900 bytes。你要为这个字段加索引。
2025-11-14 14:59:21
902
原创 import org.junit.Test; 是什么
表示你在使用JUnit 测试框架的@Test注解,它用于标记一个方法是自动化测试方法运行时 JUnit 会自动执行这些方法来验证程序是否正确。
2025-11-12 09:40:00
495
原创 import cn.hutool.json.JSONUtil;是什么?
表示引入Hutool 工具库里的JSON 工具类它能帮助你快速、方便地处理 JSON 字符串和 Java 对象之间的转换,是一个轻量、好用、中文文档齐全的 JSON 工具。
2025-11-12 09:37:25
533
2
原创 import lombok.Data; 是什么意思
表示导入 Lombok 的@Data注解,在类上标注@Data后,编译时自动生成 getter、setter、equals、hashCode、toString 等方法,从而大幅减少样板代码。
2025-11-12 09:34:50
286
原创 openai 的 codex
OpenAI Codex 是由 OpenAI 推出的一个 “代码代理” 工具/服务。它能帮助开发者更快地编写、修复、理解代码。主要特点包括:它可以通过自然语言提示(“帮我在这个项目里新增功能”“帮我找出这个 bug”)去操作代码仓库。它支持在沙盒环境中执行任务:克隆你提供的代码库、安装依赖、运行测试/linters、提交 PR 等。OpenAI+1它提供多种使用方式:你可以在网页界面(例如在 ChatGPT 界面中)使用,也可以通过命令行工具(CLI)或 IDE 插件使用。
2025-11-10 19:57:25
1033
原创 第一章例题1-线性表头节点、头指针那点事
**综合结论**:对于不带头结点的链表,**只有**在删除第一个结点时才需要更改头指针。2. **头结点**:一个**附加的结点**,放在链表的第一个元素结点之前。- **结论**:对于带头结点的链表,无论删除哪个位置的结点,都**不需要更改头指针**。因此 **A 正确**,**B 错误**。这道题的精妙之处在于,它没有考察复杂的代码,而是直指链表操作的**核心概念**和**最容易混淆的边界条件**。- **结论**:不带头结点的链表删除第一个结点时,**必须更改头指针**。
2025-11-08 08:26:36
432
原创 软件设计师100个核心知识点
基于Redis、ZooKeeper的实现。- Redis、Memcached应用。- 原子性、一致性、隔离性、持久性。- Istio、Linkerd应用。- Scrum、Kanban方法。- 不要调用我们,我们会调用你。- 前置条件、后置条件、不变式。- 通过复制现有对象创建新对象。- 基本可用、软状态、最终一致。- 一致性、可用性、分区容错性。- 2PC、3PC、TCC模式。- 模块内部紧密,模块间松散。- 确保一个类只有一个实例。- 定义算法家族,相互替换。- 表现层、业务层、数据层。
2025-10-31 16:12:40
329
原创 pgloader
在免费 / 开源 /命令行工具中,pgloader 在 “结构 + 数据 一体迁移”、性能与灵活性方面是比较突出的选择。但如果你需要图形化界面、可视化监控、持续双向同步、复杂逻辑转换等,那么商业工具或现代 ETL 平台可能更合适。特别是当源数据库具备大量存储过程、触发器、复杂 SQL 逻辑时,迁移过程中对这些逻辑的手动重写通常仍不可避免。
2025-09-24 14:19:59
1034
原创 单方合同是保障谁的权益
单方合同(单务合同)的权益保障对象取决于合同性质:在单务合同中(如悬赏广告、公益捐赠、赠与合同),法律主要保障作出承诺一方的权益实现,同时确保对方在满足条件时可获得相应权利;而在格式合同场景(如网购协议)中,法律则侧重保护接受条款的弱势方,通过公平原则、不利解释规则等限制制定方的优势地位。两类"单方"合同呈现不同保障倾向:前者保障承诺方目的达成,后者保障接受方免受不公条款损害。
2025-09-24 11:00:55
963
原创 Ubuntu 系统安装 PostgreSQL 17.6
Ubuntu 安装 PostgreSQL 17.6 主要步骤:添加官方仓库 → 安装 → 启动 → 设置密码 → (可选)远程访问。安装后推荐使用。
2025-09-18 22:10:20
702
原创 PostgreSQL 与 MySQL 谁的地位更高?——全方位对比分析
目录一、历史与定位二、功能与技术特性三、社区与生态四、企业应用与行业地位五、未来趋势六、结论:谁的地位更高? 在开源数据库领域,PostgreSQL 和 MySQL 是当之无愧的“双子星”。一个以“世界上最先进的开源数据库”著称,另一个则凭借广泛的应用成为开源数据库的代名词。那么,在今天的数据库世界里,究竟谁的地位更高呢?本文将从多个维度深入探讨。MySQL1995 年由瑞典公司 MySQL AB 开发。2008 年被 Sun 收购,随后 2010 年 Sun 又被 Oracle 收购。以 轻量、易用、成
2025-09-18 20:38:36
1085
原创 postgresql和mongodb谁的地位更高
在各大云厂商(AWS Aurora、Azure Database for PostgreSQL、阿里云 PolarDB 等)都有托管版本。提供 MongoDB Atlas(云服务),推广力度大,在开发者社区影响力很强。遵循 SQL 标准,支持事务 (ACID)、复杂查询、存储过程、触发器等。,地位比 Redis、Cassandra、Couchbase 都更高。支持分片、水平扩展,常用于大规模日志、事件流、内容管理。在传统企业系统、金融、电信、政务系统中非常重要。完全开源,生态健康,全球有大量贡献者。
2025-09-18 20:33:23
535
原创 为什么你应该选择 PostgreSQL:开源关系数据库的终极之选
云时代(AWS Aurora,Azure Database,Google Cloud SQL 都提供托管的 PostgreSQL),容器化(Docker 部署极其简单),PostgreSQL 都是绝对的主流和首选。学习它意味着你的技能不会过时。它通过保存数据旧版本的方式来实现并发控制,读者永远不会阻塞写者,写者也永远不会阻塞读者,提供了极高的并发性能。:你可以创建新的数据类型、新的函数、甚至新的索引类型(例如,GiST, SP-GiST, GIN, BRIN 等高级索引),以适应各种特殊的查询需求。
2025-09-18 16:47:21
776
原创 DotCore进程CPU飙高跟踪处理方案
本文介绍了使用dotnet-trace工具进行.NET应用程序性能分析的方法。主要内容包括:1)安装dotnet-trace工具;2)基本数据收集命令,支持不同级别的CPU分析;3)服务器端直接分析或下载到本地分析;4)使用Visual Studio查看热点路径、函数视图等关键指标;5)高级用法如实时监控、采样频率设置;6)替代方案SpeedScope在线分析。文章提供了详细的参数说明和分析建议,推荐收集30秒以上的业务高峰期数据,关注独占时间高的方法,帮助开发者快速定位性能瓶颈。
2025-09-17 17:55:15
722
原创 Grafana配置连接时候证书与mongosqld启动证书的关系
-sslCAFile /path/to/ca.crt \ # 用于验证客户端证书的CA。TLS/SSL Client Certificate: (上传grafana-client.crt)TLS/SSL Client Key: (上传grafana-client.key)├────────SSL握手─────────>│。│<────────SSL握手─────────┤。TLS/SSL CA Cert: (如果需要,上传CA证书)TLS/SSL CA Cert: (上传ca.crt)
2025-09-13 23:38:20
1014
原创 MongoDB BI Connector 详细介绍与使用指南(手动安装方式,CentOS 7 + MongoDB 5.0.5)
你使用的是CentOS 7 + MongoDB 5.0.5 (社区版)。需要去 MongoDB 官网手动下载 BI Connector tar.gz 包。解压后运行mongosqld即可提供 MySQL 接口。配置用户名、密码、远程访问后,即可在等 BI 工具中使用 MySQL 驱动直连 MongoDB。
2025-09-12 18:01:00
947
原创 BackAgent:面向生产环境的下一代自主AI智能体框架深度解析
《BackAgent:企业级智能体框架的探索与实践》摘要 BackAgent代表了一类新兴AI智能体框架,专注高可靠性的后台自动化任务,其核心特性包括模块化架构(规划器、工具模块、记忆系统等)、安全控制机制及自主反思能力。相比AutoGPT等实验性智能体,它更强调生产环境适用性;与RPA平台相比,则具备处理非结构化任务的优势。当前构建BackAgent的技术栈(如LangChain)虽开源,但完整企业级方案多趋于商业化。部署成本较高(LLM调用、系统集成等),适合预算充足的企业用于复杂数据查询、客户服务自动
2025-09-08 16:50:41
954
原创 grafana支持mongodb吗?
Grafana 默认不支持 MongoDB。解决方案:装MongoDB Data Source 插件(最直接)。用(常用于监控指标)。用(适合做业务分析)。
2025-09-04 11:38:37
1138
解决centos7安装.net8环境依赖的问题
2024-11-28
静态文件放阿里云的oss加载速度很快!为啥很少看到有人把全部的静态资源放到oss?
2022-07-01
TA创建的收藏夹 TA关注的收藏夹
TA关注的人