子夜侠客FINN的博客

[size=large][b]背景：[/b][/size]一般MIS系统的开发中，都会给表格设计一个题头进行排序的功能。具体的实现是将SQL语句中的ORDER BY 字句的两个参数：排序字段、排序方式作为对象的属性，由前台提交到后台。[size=large][b]问题：[/b][/size]如果对这两个参数（我暂且称为sortName，sortType）没有进行有效的控制，就可能导致脚...

我们经常会开发了一个下载功能，具体实现就是后台实现一个下载方法，接收一个带有路径的文件名参数，再通过流将对应的文件返回给客户端。但是这种方式潜在一个安全漏洞——通过修改这个文件名参数的值，可以下载操作系统中当前账号有权访问的任意文件。极有可能造成操作系统内核文件被修改，操作系统密码泄露，web应用文件被修改，WEB应用挂马等多种安全事件。如何防止下载任意文件呢？一、限制下载文件的扩展名...

开篇讲架构之前，我们先谈谈什么是架构？[size=large]一、架构的定义[/size]这是一个只可意会不可言传的概念，来自度娘百科的解释是：架构，又名软件架构，是有关软件整体结构与组件的抽象描述，用于指导大型软件系统各个方面的设计。度娘说，用于指导大型软件系统，诚然，架构对于大型软件系统尤为重要，但是一般的小型产品、项目也要关注架构、进行架构的分析和设计，才能使软件顺利开发...

最近用Google Chrome浏览器登陆支付宝，在地址栏下方提示了一行黄色小字：“This site uses a plugin(npalicdo plugin) that will soon be unsupported”.意思是 支付宝这个网站使用的插件马上就不支持了。心想，难道google要封杀支付宝？！ [size=large] 插件技术[/size] 支付宝使用的插...

[size=x-large]HTTP Response 拆分[/size]译者注：原文拆分对应的单词为splittingHTTP头 拆分是一种偷窃用户数据的一种攻击方法。可以用来执行跨平台的脚本攻击、偷取用户数据、破坏或篡改网站内容。[size=large]HTTP Response 拆分有多严重？[/size]当浏览器请求一个页面的时候，页面将HTTP头的信息发送给浏览器。这些头...

Mozilla 、Akamai、思科、Google等联合成立一家HTTPS数字证书认证的免费组织--Let's Encrypt，并与2015年9月14日签发了第一张证书。那我们就来看看如何获得Let's Encrypt的数据证书呢？let’s Encrypt 网站：https://letsencrypt.org/试用前说明 系统需求Let’s Encrypt 客户端目前...