V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  aguesuka  ›  全部回复第 14 页 / 共 46 页
回复总数  904
1 ... 10  11  12  13  14  15  16  17  18  19 ... 46  
2021-12-10 16:00:37 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
@powerman 我只能解释为作者能力有限, 看他的测试用例, 其实是想通过 jndi 查询 "logging/context-name" 之类的东西, 但他不知道 jndi 的威力. 这也是我为什么说不用这个作者的其它框架的原因, 君子不立危墙之下
2021-12-10 14:43:40 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
@ohwind 看我 53 楼贴的代码, 作者使用了一个高风险的 api, 却只做了最简单的单元测试. 而这段代码的参数是 log4j2 最核心的功能 logger.error 会调用的, 而后者的参数是不安全的字符串.
直接滑坡到 "完美无暇" 和 "二极管思维" 的你才是
2021-12-10 13:45:29 +08:00
回复了 Wsdba 创建的主题 Java 大家帮我看看,这代码是水平。。
@xuanbg 可以直接用 Objects.equals, 这个函数可以代替 StringUtils.equals
2021-12-10 13:04:11 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
@littlewing 滑坡谬误, 看 64 楼
2021-12-10 12:52:25 +08:00
回复了 461da73c 创建的主题 程序员 为啥一个打日志的要去访问网络
作者想去访问 "java:comp/env/" 中的环境变量比如 "logging/context-name", 但是实际调用的 JNDI 相当于 Java 中的 eval
2021-12-10 11:43:36 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
@ohwind I try to follow a rule with libraries: if a library causes more trouble than the implementation effort it would take to recreate its functionality from scratch (or rather, the portion of its funcitonality that is used in practice), then it's time to purge that library from projects and never use it again.
The part of log4j functionality that gets used in practice, most of the time, is just a wrapper around printf which adds a timestamp and a log-level. This is very quick and easy to write. A library in this role should have zero RCEs, ever in its entire lifetime, or it is unfit for purpose.

这不是我一个人的 idea
2021-12-10 11:15:07 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
@pkoukk 像大家一起不用 Struts 一样不用它
2021-12-10 11:02:07 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
2021-12-10 10:33:03 +08:00
回复了 eviladan0s 创建的主题 Java 颤抖吧 Javaer, log4j 史诗级漏洞
太离谱了, 这是一个日志框架不该出现的 bug. 也许正确的应对方法不是升级或是改什么配置, 而是不要使用 log4j2 和这个作者开发的其他框架.
2021-12-09 17:58:08 +08:00
回复了 Lillian129 创建的主题 生活 父母对我唯一的心愿--我找到对象
@bk201 因为家长眼里恋爱不是结婚的充分或必要条件
2021-12-09 17:47:01 +08:00
回复了 Wsdba 创建的主题 Java 大家帮我看看,这代码是水平。。
语法层面还好
第一个方法, member 也许是 memberId, 第一个方法里的 name 在第二个方法里成了 positionName, 嵌套的 if 应该该改成 &&, else if 应该合并, 多个分支执行相同的代码也应该合并.
第二个方法, if 的嵌套太多了.

设计层面
dao 层查询结果是 Map
changePartyPositions 应该拆成两个函数, 一个方法不允许 null, 另一个方法只有一个 member, 同样不允许 null.
不要返回 boolean, 而是应该抛异常

另外, updateTime 是 string 类型, 而且是参数, 最坏的可能是从前端拿到的, 而且要保存到数据库, 否则有理由怀疑 changePositions 在循环体中, 同样也很糟糕

虽然不希望和他当同事, 不过这已经算 ok 的代码了, 至少看到代码我知道他想干什么.
2021-12-08 23:56:36 +08:00
回复了 gainsurier 创建的主题 问与答 你是如何定义「躺平」的?
antiwork
LaTeXAsTeX
2021-12-04 17:21:05 +08:00
回复了 asd7160 创建的主题 程序员 程序员不想卷了去考公真的是好的选择吗?
当你怀疑自己是不是适合当程序员时, 你就已经不适合了
2021-12-04 10:41:37 +08:00
回复了 Liyiw 创建的主题 问与答 老哥们, Java 范型这两个写法是等效的吗?一般用哪种?
在你的例子中是等效的;
作为方法签名的话, 有一个微妙区别, 第一个方法可以写出以下代码, 而第二个不行;
// 假如 box 有一个 void set(E e);的方法
box.set(box.get());

语义上, 第一个是方法的泛型参数(类型作为类型), 而第二个是通配符泛型类型(只是类型)
2021-12-04 10:17:46 +08:00
回复了 monsterlin 创建的主题 Android 笔试题没有做好 公司不给面试机会
9 楼说得对
2021-11-30 18:13:18 +08:00
回复了 onhao 创建的主题 MySQL ?应用 触发器,函数,存储过程 会 变色
可以实现一个乞丐版的日志, 勉强能在编译前给出编译错误和警告, 虽然没有模块和私有函数不过可以用名称代替, 勉强可以把 create 语句放在 GIT 或 SVN 上, 可以打断点调试, 还能手动执行.

马马虎虎凑合吧, 能有这个想法的人说明没维护过老代码, 体验一下也不失为宝贵经验.
2021-11-30 10:20:47 +08:00
回复了 weishao666 创建的主题 问与答 web 代码编辑器的调试功能怎么实现?
标准协议当然是好东西. 写一个新语言只需要实现这个协议就能接入到各 IDE 或编辑器中. 而且以微软的水平, 接口设计肯定比图中好. 像 LSP 的 error 是一个对象. 这在和编译器集成时很有用, 因为异常通常是会携带元信息的.
2021-11-29 16:51:58 +08:00
回复了 lidongyooo 创建的主题 程序员 ffmpeg 音频位置识别
可以试试 STFT
1 ... 10  11  12  13  14  15  16  17  18  19 ... 46  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1343 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 23:42 · PVG 07:42 · LAX 16:42 · JFK 19:42
Developed with CodeLauncher
♥ Do have faith in what you're doing.