Clik here to view.
如何从代码层防御10大安全威胁中的 Xpath Injection?
普遍性和可检测性:Xpath 注入是 OWASP TOP10 安全威胁中 A1 Injection 中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。虽然注入漏洞很容易通过审查代码发现,但是却不容易在测试中发现。影响严重:注入能导致数据丢失或数据破坏、缺乏可审计性或者是拒绝服务。注入漏洞有时候甚至能导致完全主机接管。从代码层次如何防御:首先我们先来看一下在 Java 中引用 xpath...
View ArticleClik here to view.
影响lucene的评分的几种方法
评分功能,在全文检索中也算是一个非常重要的模块,因为评分的好坏,直接决定着用户搜索匹配的相关性,试想一下假如用户输入了一个搜索词,搜索引擎返回了一大堆不相关的信息,或者没有层次性,重点性的结果,那么看起来将是一件多么糟糕的事情。 lucene默认的评分机制,用的VSM(Vector Space Model)空间向量模型,基于TF-IDF的评选方式,TF-IDF(term...
View ArticleClik here to view.
有关Lucene的问题(7):用Lucene构建实时的索引
由于前一章所述的Lucene的事务性,使得Lucene可以增量的添加一个段,我们知道,倒排索引是有一定的格式的,而这个格式一旦写入是非常难以改变的,那么如何能够增量建索引呢?Lucene使用段这个概念解决了这个问题,对于每个已经生成的段,其倒排索引结构不会再改变,而增量添加的文档添加到新的段中,段之间在一定的时刻进行合并,从而形成新的倒排索引结构。然而也正因为Lucene的事务性,使得Lucene的...
View ArticleClik here to view.
有关Lucene的问题(8):用Lucene构建实时索引的文档更新问题
在有关Lucene的问题(7),讨论了使用Lucene内存索引和硬盘索引构建实时索引的问题。然而有的读者提到,如果涉及到文档的删除及更新,那么如何构建实时的索引呢?本节来讨论这个问题。1、Lucene删除文档的几种方式 IndexReader.deleteDocument(int docID)是用 IndexReader 按文档号删除。...
View ArticleClik here to view.
数据库连接池性能比对
背景对现有的数据库连接池做调研对比,综合性能,可靠性,稳定性,扩展性等因素选出推荐出最优的数据库连接池 。 NOTE: 本文所有测试均是mysql库测试结论 1:性能方面 hikariCP>druid>tomcat-jdbc>dbcp>c3p0 。hikariCP的高性能得益于最大限度的避免锁竞争。...
View ArticleClik here to view.
[转载]关于Quartz 线程处理说明
Quartz定时任务默认都是并发执行的,不会等待上一次任务执行完毕,只要间隔时间到就会执行, 如果定时任执行太长,会长时间占用资源,导致其它任务堵塞。 1.在Spring中这时需要设置concurrent的值为false, 禁止并发执行。?1 <property...
View ArticleClik here to view.
Clik here to view.
面试常见十大类算法汇总
1.String/Array/Matrix在Java中,String是一个包含char数组和其它字段、方法的类。如果没有IDE自动完成代码,下面这个方法大家应该记住: toCharArray() //get char array of a String Arrays.sort() //sort an array Arrays.toString(char[] a) //convert to...
View ArticleClik here to view.
MySQL5.6.12 Waiting for commit lock导致从库hang住的问题剖析
nagios报警,线上一台从库检测不到slave状态,于是远程上去查看问题:1,show slave status\G卡住:Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. mysql> show slave status\Gshow slave...
View ArticleClik here to view.
一名网站数据分析师需要具备这9大本领
如果你想成为网站分析师!想加入网站分析这个即有前途又有“钱途”的行业,那么你至少需要具备本文所提到的9大本领。1、玩转ExcelExcel是一个最原始而且最容易入手的分析工具之一,如果你有少量的...
View ArticleClik here to view.
IE8,9,10 将在下周二寿终正寝
让一个软件死亡,那就是不再给它更新版本、修补漏洞以及给用户提供技术支持。微软官方发布公告 ,「臭名昭著」的 Internet Explorer 8,9,10 三个版本的浏览器将会在下周二(1 月 12 日)迎来它们寿终正寝的日子,并告知升级 IE 浏览器的办法。下周二,微软将会推送一个 KB31323303 的补丁催促依旧使用旧版 IE...
View ArticleClik here to view.
支付宝、钉钉、格瓦拉等接入优步API开放平台
【TechWeb报道】1月6日消息,优步中国宣布,除百度、穷游网以及渡鸦科技等首批合作伙伴外支付宝、钉钉、格瓦拉等APP也即将接入优步API。支付宝、钉钉、格瓦拉等接入优步API开放平台2014年8月Uber API开放平台最早在美国推出,接入优步开发者开放平台的公司包括微软、美联航、TripAdvisor、Open...
View ArticleClik here to view.
记一次 MySQL 数据库问题排查
最近遇到应用频繁的响应缓慢,无法正常访问。帮忙一起定位原因,最后定位到的问题说起来真的是很小的细节问题,但是就是这些小细节导致了服务不稳定,真是细节决定成败。这里尝试着来分享下,希望对大家有所帮助。问题 1:占着茅坑不拉屎遇到问题首先要看的还是服务器错误日志。错误日志中看到频繁有这样的一个异常报错: Error: ER_CON_COUNT_ERROR: Too many...
View ArticleClik here to view.
ThreadLocal的内存泄露
ThreadLocal的目的就是为每一个使用ThreadLocal的线程都提供一个值,让该值和使用它的线程绑定,当然每一个线程都可以独立地改变它绑定的值。如果需要隔离多个线程之间的共享冲突,可以使用ThreadLocal,这将极大地简化你的程序.关于的ThreadLocal更多内容,请参考《...
View ArticleClik here to view.
中文文本处理简要介绍
本文作者李绳,博客地址 http://acepor.github.io/。作者自述:一位文科生曾励志成为语言学家 出国后阴差阳错成了博士候选人 三年后交完论文对学术彻底失望 回国后误打误撞成了数据科学家作为一个处理自然语言数据的团队,我们在日常工作中要用到不同的工具来预处理中文文本,比如 Jieba 和 Stanford NLP software。出于准确性和效率的考虑,我们选择了Stanford...
View ArticleClik here to view.
360好搜份额超35% 齐向东:如被骗 我全赔
奇虎 360 旗下搜索产品,360 好搜举行更名一周年用户见面会,并且发布了基于大数据分析产生的 2015 年度热搜榜单。360 总裁齐向东透露,截止 2015 年底,好搜在 PC 端的市场份额已达到 35%,每日搜索请求超过 7 亿次,活跃用户数增长到 3.8 亿”,这已经是好搜连续 14 个季度保持环比增长。同时,他进一步表示,未来,360...
View ArticleClik here to view.
Elasticsearch集群入门
欢迎来到Elasticsearch的奇妙世界,它是优秀的全文检索和分析引擎。不管你对Elasticsearch和全文检索有没有经验,都不要紧。我们希望你可以通过这本书,学习并扩展Elasticsearch的知识。由于这本书也是为初学者准备的,我们决定先简单介绍一般性的全文检索概念,接着再简要概述Elasticsearch。我们要做的第一件事就是安装Elasticsearch。与许多应用相同,你从安装...
View ArticleClik here to view.
海量用户的积分排序问题算法的分析
Question某海量用户网站,用户拥有积分,积分可能会在使用过程中随时更新。现在要为该网站设计一种算法,在每次用户登录时显示其当前积分排名。用户最大规模为2亿;积分为非负整数,且小于100万。表(user_score)的结构可以如下设计:FieldTypeNullKeyDefaultuidint(11)NOPRI0scoreint(11)NO0Algorithm...
View ArticleClik here to view.
Windbg入门实战讲解
聚锋实验室:gongmowindbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百...
View ArticleClik here to view.
Hybrid APP架构设计思路
关于Hybrid模式开发app的好处,网络上已有很多文章阐述了,这里不展开。本文将从以下几个方面阐述Hybrid app架构设计的一些经验和思考。原文及讨论请到 github issue通讯作为一种跨语言开发模式,通讯层是Hybrid架构首先应该考虑和设计的,往后所有的逻辑都是基于通讯层展开。Native(以Android为例)和H5通讯,基本原理:Android调用H5:通过webview类的...
View Article