：）每天进步一点点

目录 1. 时序图概述 1 2. 时序图元素 1 a. 角色（Actor） 1 b. 对象（Object） 1 c. 生命线（Lifeline） 1 d 控制焦点（Focus of Control）/激活期(Activation) 1 e. 消息（Message） 1 3. 例子 2 4. 注 4 1. 时序图概述 时序图（Seque

一、背景　　近年来，随着互联网应用服务的发展、尤其是电子商务的勃兴，我国的第三方支付产业进入了爆炸式增长时期。目前，第三方支付企业的年交易总额已突破万亿元，在人民银行备案的第三方支付企业数量已达260多家。第三方支付以其方便、快捷、无相关费用的特点，越来越受到人们的青睐，越来越多的网上交易采用第三方支付企业来完成支付结算。第三方支付方式已经融入到了人们的日常生活和工作中，正在改变着人们的消费习

一，Session：含义：有始有终的一系列动作\消息1，  隐含了“面向连接” 和“保持状态”两种含义2，  一种用来在客户端与服务器之间保持状态的解决方案3，  也指这种解决方案的存储结构“把××保存在session里”二， http 协议本来是无状态的，所以引进了cookie和session机制来保持连接状态cookie与session 机制之间的区别与联系：c

摘要：软件测试是保证软件质量的重要手段。如何组织软件测试，耗费最少时间与最小工作量完成软件测试，使软件质量满足用户要求，是软件研发单位需要解决的问题。本文结合工程实践，从软件的可测试性及测试组织等方面探讨提高软件测试效率的方法。　　关键词：可测试性；软件测试；测试人员；　　引言　　自从上世纪七八十年代全面爆发软件危机起，软件产业的发展过程中始终伴随着巨大的管理难题。整个软件

在多个培训中，我都会与学员探讨测试的七项基本原则，发现自己所举出的例子都是反面的，思考一下这个问题，为何我们在一些基本原则上仍然Hold不住？是不是有些“潜规则”在作祟？因而，发起这个话题，讨论测试的“潜规则”。　　先看看ISTQB的“测试七项基本原则”：　　原则1：测试指出缺陷的存在——测试没有发现缺陷并不意味着不存在缺陷　　原则2：穷尽测试是不可能的　　原则3：

解释一emulatorn.[计]仿真器。通过软件方式，精确地在一种处理器上仿真另一种处理器或者硬件的运行方式。其目的是完全仿真被仿真硬件在接收到各种外界信息的时候的反应。我们现在常见的MAME、ePSXe等都是这一类。simulatorn.模拟器。通过某种手段，来模拟某些东西。不一定要完全正确的原理，追求的只是尽可能的相像。比如DWI、BandJAM等都属于这一类。解释

一、概述Localization testing（本地化测试），本地化测试的对象是软件的本地化版本。本地化测试的目的是测试特定目标区域设置的软件本地化质量。本地化测试的环境是在本地化的操作系统上安装本地化的软件。从测试方法上可以分为基本功能测试，安装/卸载测试，当地区域的软硬件兼容性测试。测试的内容主要包括软件本地化后的界面布局和软件翻译的语言质量，包含软件、文档和联机帮助等部分。本地化就

一、背景我们在项目进展的过程中，是不是还遇到了这些问题：1、项目有deadline，还没开始讨论需求已经限定死了发布时间，里程碑时间点促使进度往前赶，而往往项目还没有成熟到可以推进的程度2、为赶进度项目成员之间的沟通会减少和不明确，每个人的理解出入就会越大，返工的隐患就出现了3、项目人员变更，替换的人员对项目并不是非常了解，理解成本耗费大量项目时间4、开发过程中的方案变更，没能

测试1. 手工 VS 自动化2. 指导性的测试 VS 探索性测试3. 低成本的模拟测试  VS  高成本的真实环境 测试4. 报bug  VS  口头沟通5. 内部测试尽量全  VS  开放外部参与测试6. 独立自主 VS 外包合作流程1. 糙快猛 VS 精慢柔(scrum, agile...)2. 有文档 VS demo 为王3. 需要测试的角色 VS

什么是测感呢？举几个例子：“在一堆乱七八糟的工牌中每个人都能够快速找到自己的工牌。用的是什么算法？”“如果一群姑娘站在你面前，你一眼看过去，就知道哪个长的漂亮，哪个是你喜欢的哪一型的，不需要用尺子量一量身高，再量一量三围。又用了什么算法？”“一接电话就知道是身边的哪位朋友，这时又用了什么算法？”，“盲人知道自家客厅，卧室的哪个方位，为什么看不见也能知道呢？”所以，测感，直面解释，就是你一眼看上

简介现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其所写成 XSS）的威胁，而静态站点则完全不受其影响。这篇FAQ将使你能更深入地理解这种威胁，并给出如何检测并防止的建议。 什么是跨站脚本攻击？跨

XSS总览：Cross-Site Scripting attacks are a type of injectionproblem, in which malicious scripts are injected into the otherwise benign andtrusted web sites.Flaws that allow these attacks to succeed

How to Report Bugs Effectivelyby Simon Tatham, professional and free-software programmerIntroductionAnybody who has written software for public use will probably havereceived at least one ba

SQL injectionFrom Wikipedia, the free encyclopediaJump to: navigation, searchSQL injection is a technique often used to attack data driven applications [1]. This is done by including

1. 不登录系统，直接输入登录后的页面的URL是否可以访问；2. 不登录系统，直接输入下载文件的URL是否可以下载文件；如输入：http://url/download?name=file是否可以下载文件file3. 退出登录后，后退按钮能否访问之前的页面；4. ID/密码验证方式中能否使用简单密码；如密码标准为6位以上，字母和数字的组合，不包含ID，连接的字母或数字不能超过n位

经常主观感觉一个网页打开速度快或者慢，实际上可以通过浏览器提供工具进行测试，查看到准确的载入时间。一、Chrome谷歌浏览器用Chrome浏览器自带工具（chromium插件），很方便地就能测速。在Chrome打开网页后，在页面内点右键，选inspect element，下栏菜单中选resources，enable resources tracking，接着页面会重新载入，在下面的gr

经过这段时间对支付宝在线支付接口、手机在线支付接口、农业银行在线支付接口、以及支付宝担保交易接口的开发，对在线支付的原理有了一定的了解，开发过程中有点小的心得体会，在这里记录一下。　　首先，这几个接口中，前面三个都是单一的支付接口，对于需要集成的商户而言，所需要做的工作为：集成支付功能使用户可以在线支付，接受支付结果进行商户系统中订单相关数据的处理。其次，担保交易接口是一个完整的在线担保体系，

你先打开菜单里“运行”，输入CMD打开DOS，然后再输入“cd 桌面”,然后回车，再输入“cd wis”,再回车，然后输入“WIS 网址”。这样就OK了注意：前提是你把小榕的WIS文件夹放在桌面上。 转载：http://zhidao.baidu.com/question/211726678.html

概述顺序图是一种详细表示对象之间以及对象与参与者实例之间交互的图，它由一组协作的对象（或参与者实例）以及它们之间可发送的消息组成，它强调消息之间的顺序。顺序图是一种详细表示对象之间以及对象与系统外部的参与者之间动态联系的图形文档。它详细而直观地表现了一组相互协作的对象在执行一个（或少量几个）用况时的行为依赖关系，以及操作和消息的时序关系。类图对对象之间的消息（交互情况）表达不够详细；详细说

一、时序图简介（Brief introduction）       时序图（Sequence Diagram）是显示对象之间交互的图，这些对象是按时间顺序排列的。顺序图中显示的是参与交互的对象及其对象之间消息交互的顺序。时序图中包括的建模元素主要有：对象（Actor）、生命线（Lifeline）、控制焦点（Focus of control）、消息（Message）等等。二、时序图元素（

1．PythonTab中文网[7]2．Python爱好者论坛[8]3．Pythoner在线互动交流平台[9]4．Python在线资源大全[3]5．Python免费教学视频[10]6．Python在线运行及高手进阶资料[11]7．简明Python教程转载：

根据本人的学习经验，我总结了以下十点和大家分享： 1）学好python的第一步，就是马上到www.python.org网站上下载一个python版本。我建议初学者，不要下载具有IDE功能的集成开发环境，比如Eclipse插件等。2）下载完毕后，就可以开始学习了。学习过程中，我建议可以下载一些python的学习文档，比如《dive into python》，《OReilly -

    wingIDE是一款收费软件，但是它的call-tips和auto-completion功能实在是太强大了，输入的时候都不用考虑大小写，对于我们这些初学者来讲大大提高了效率。eric4虽然也有这些功能，但是他要对API编译后才有此项功能，而且对类实例化后就没有这些功能了。由于是wingIDE收费软件，需要破解，破解方法如下：1、下载并安装windIDE软件。可从官网下载ht

一、注意你的Python版本Python官方网站为http://www.python.org/，当前最新版本为3.4.0 alpha，稳定版本为3.3.2，在3.0版本时，Python的语法改动较大，而网上的不少教程及语法针对的是1.0或者2.0版本的，这样就造成不少初学者按照示例代码来写，但编译都无法通过的问题。1、print()函数旧的print函数用法为print ‘He

初学阶段，目前在windows xp系统上学python,安装的软件如下： python-2.6.4 PyQt-Py2.6-gpl-4.7.3-2 eric-4.4.5 wingIde-3.2.3 目前很多第三方库都还没更新到支持python3.0,因此选择了2.6版本，集成开发环境选择了了Eric4+Pyqt4，不过Eric4的call-tips功能还是比较弱，网上搜

关于统一等价类划分的术语和过程等价类划分是很重要的软件测试设计技术之一。重要到几乎每一个测试员都要用到这项技术，他们中的一些人甚至还没有意识到被这他们称为 “常识”的实际上是一项正式的技术。但不知何故，作为一个测试团体，我们就等价类划分的过程这一点上似乎无法达成一致意见。甚至连它的术语都意见不一。划分和类是同一回事吗？等级划分的有效和无效意味着什么？当我们了解什么是类之后，又该如何把它运用

http://www.york.ac.uk/depts/maths/tables/orthogonal.htmhttp://support.sas.com/techsup/technote/ts723_Designs.txt

采用字体颜色区分上标和下标。红色为下标，蓝色为上标，请注意区分。1、L4（23）序号    1    2    3            1    1    1    12    1    2    23    2    1    24    2    2    12、L8(27)序号    1    2    3    4    5    6    7      

至于测试，使用的方法是多种多样的，理论上，任何方法，只要发现的错误或缺陷是确实存在的，都是可行的测试方法。但是在项目实践中，我们不可能把所有可能的方式都使用上，而智能采取最有效和可控的方法。有效，是指这种方法有效模拟真实的应用，并有效地暴露潜在的问题；可控，指的是使用方法有明确的步骤，通过相应的步骤可以使暴露的问题重现。测试目标是发现软件系统中存在的缺陷，其中有个关键的原则--尽可能早的发

属性当以下情况发生时，出现此事件FFNIEonabort图像加载被中断134onblur元素失去焦点123onchange用户改变域的内容123onclick鼠标点击某个对象123ondblclick鼠标双击某个对象144onerr

会话(Session)固定　　会话安全是一个复杂的话题，会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。　　对于攻击者决定性的信息是会话标识，任何伪装的攻击都需要这个。有三个方法获得合法的会话标识：　　预测　　劫持　　固定　　预测依赖猜测合法的会话标识。根据 PHP 的会话原理，会话标识是相当随机的，这不大可能是薄弱环节。

15.2  Cookie安全测试Cookie 提供了一种在 Web应用程序中存储用户特定信息的方法，例如存储用户的上次访问时间等信息。但是Cookie在带来这些编程的方便性的同时，也带来了安全上的问题。Cookie 的安全性问题与从客户端获取数据的安全性问题是类似的，可以把 Cookie看成是另外一种形式的用户输入，因此很容易被黑客们非法利用这些数据。由于Cooki

Cookies最初设计时，是为了CGI编程。但是，我们也可以使用Javascript脚本来操纵cookies。在本文里，我们将演示如何使用Javascript脚本来操纵cookies。(如果有需求，我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得，那么我现在就教你一手：仔细看看CGI.pm。在这个CGI包里有一个cookie()函数，可以用它建立cookie。但是

基于过程的软件测试全景图，是对基于内容的 软件测试内容全貌——全景图(1) 的补充，从而对软件测试有一个较完整的描述。借助这张全景图，更好理解从需求、设计验证开始直至产品发布的整个测试过程，以及慢慢体会如何做好测试工作的每一个环节，不漏过任何一个环节，包括测试项目背景的掌控、沟通等等。  转载：http://blog.youkuaiyun.com/kerryzhu/ar

作为芸芸众程序员的一员，我对软件开发中的一切都充满问题。今天是关于测试，作为一名唯物主义者，我相信众物都有其神，于是我找到了测试之神。　　 　　我问：神仙，为什么我们需要测试？ 　　大神用怜悯的眼神看着我，说到：我可怜的孩子，之所以需要测试，都是上帝的错啊，上帝创造了你们，但是因为没有测试，所以你们都是不完美的、不理智的，你们会被情绪、环境左右，会犯错。　　大神说这话的时候

思维导图式课程大纲：问题驱动的软件测试设计 - 解决方案更多内容，请访问郑文强的个人网站：http://www.skyqa.com            (责任编辑：admin)转载：http://www.skyqa.com/management/2012/0609/72.html

[概述]测试人员在测试过程中经常会面临各种测试设计方面的问题和挑战。如何应用各种不同的测试设计技术和测试理念来有效解决这些问题和挑战，是每个测试人员必须考虑的。本文将“问题驱动的软件测试设计”的方法，通过全景图的方式给予阐述。[正文]软件测试设计通常处于测试过程的关键路径上，它们的输出（不管是文档化的，还是存在于测试人员脑海中）的质量常常将会影响测试的效率、有效性和测试质量。测试人员在

软件测试中不仅要检查程序是否出错、程序是否和软件产品的设计规格说明书一致，而且还要检验所实现的正确功能是否就是客户或用户所需要的功能，两者缺一不可，这两部分活动构成了一个完整的测试活动。这就是软件测试中有名的V&V，即Verification和Validation。实际上，在整个软件开发生命周期，Verification和Validation每时每刻都存在着。1. 验证——Verifica

通过全景图，想使大家对软件测试一目了然。自己做了两张不同的全景图，自己还不能满意，特呈现出来，请大家多提意见，从而构造一完美的软件测试全景图。         设计全景图，象Mindjet MindManager 一类软件工具比较好，但我没有用。主要是想借助太极八卦图蕴含着软件测试的辨证观点，更能反映软件测试的本质，如我的多篇博客所述的：测试方法的辩证统一 （之一）测试方法

经过上两篇（《Web安全性问题的层次关系》及《解读Web应用安全问题的本质》）关于Web安全及Web应用安全概念性知识的宏观介绍，相信大家已经有所感知了。从今天开始，我将陆续给大家介绍常见的Web应用安全性问题。Web应用程序的安全性问题依其存在的形势划分，种类繁多，这里不准备介绍所有的，只介绍常见、比较常见和有点常见这种级别的。我相信从Web应用安全角度来说，会比你从网上搜的要全面的多。以下