V2EX › whoami9894 的所有回复 › 第 5 页 / 共 34 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 34

❮

❯

2020 年 6 月 1 日

回复了 qqqccc 创建的主题 › 程序员 › fastjson 又爆 bug 了!快来看看是否受影响

@JasonLaw
JSON 映射到对象其实就是 build and assign，先实例化对象，然后对成员变量赋值，赋值时如果对象有 setXX 方法会调用，在 setXX 方法中可能有一些可以达到代码执行的操作比如 JNDI injection
比如`com.sun.rowset.JdbcRowSetImpl`，调用它的`setAutoCommit`时会自动对成员变量`dataSourceName`进行一次 JNDI lookup，在低版本 JDK 中就可以直接加载远程字节码

2020 年 6 月 1 日

回复了 qqqccc 创建的主题 › 程序员 › fastjson 又爆 bug 了!快来看看是否受影响

@AngryMagikarp
因为它支持 @type 把 JSON 映射到对象

2020 年 5 月 29 日

回复了 duanguyuan 创建的主题 › 程序员 › 请教 Java Runtime.exec("sh -x xx.sh")无效的问题

```
root@e:/tmp# cat 1.sh
echo 123
root@e:/tmp# sh 1.sh
123
root@e:/tmp# sh -x 1.sh
+ echo 123
123
root@e:/tmp# sh -x 1.sh > 1
+ echo 123
root@e:/tmp# cat 1
123
root@e:/tmp# sh -x 1.sh > 1 2>&1
root@e:/tmp# cat 1
+ echo 123
123
```

2020 年 5 月 28 日

回复了 Vibra 创建的主题 › 程序员 › 话说这段代码什么意思

就是#4 的答案

```c
void t(int i) {
printf("%d\n", i);
}

void(*signal(int i, void(*f)(int)))(int i) {
f(i);
return &t;
}

int main() {
signal(0, &t)(1);
return 0;
}
```

2020 年 5 月 27 日

回复了 killThemPuppy 创建的主题 › Go 编程语言 › 为了规避面试难度而学 golang，这样做可以吗

你以为 Go 的框架 /最佳实践 /坑少吗

2020 年 5 月 4 日

回复了 Aloehuang 创建的主题 › JavaScript › 关于词法作用域和闭包的一点疑问

你对比一下

let a = 0;
let addone = () => { let a = 10; addtwo(); }
let addtwo = () => console.log(a);
addone()

/*===*/

let a = 0;
let addone = () => { let a = 10; let addtwo = () => console.log(a); addtwo(); }
addone()

2020 年 4 月 27 日

回复了 collo 创建的主题 › 程序员 › 求助下这是什么编码？

base64 的意义就是把所有字符映射到可见字符，比如我加密后为了方便传输把密文编码成 base64，你这个样本解码后 16 字节，大概率是某种分组密码加密后的数据，你问这个问题没有任何意义

2020 年 4 月 25 日

回复了 whoami9894 创建的主题 › 程序员 › SQL 语句 where 子句连等

@tsparrot
'guest'='admin'='admin' => ('guest'='admin')='admin'
'guest'='admin' => 0
0='admin' => 1
所以查出所有 username != 'admin'的记录

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111
@moonlord
果然我就不该回复你们，你俩是一类人。先打牢基础吧，哪来的一股蜜汁自信

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111 他的意思是前端 JS 操纵数据时用 innerText，你这种情况是后端直接渲染 HTML，所以实际不能反驳他对于前端操纵数据的说法

@moonlord
使用 innerText 等做法都是在前后端分离，前端 JS 操纵数据的前提下，后端直接渲染 HTML 返回你直接避过不提？没什么好杠的

@neoblackcap
确实。我的意思的是总有一些复杂的业务场景，所以想寻求一劳永逸的解决方式是不太现实的

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111
虽然我很想挺你，但你这个例子确实不对
浏览器解析 HTML 时会先解析 HTML，然后才是 JS 。也就是说你这段代码里`content.innerText='</script><script>alert(11);</script>'`的第一个`</script>`在 HTML 解析阶段被当做 script 闭合标签了

所以这段代码被交给 JS 引擎解析时是这样的
<script>
var content = document.getElementById("test");
content.innerText='
</script>

<script>
alert(11);
</script>

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@moonlord
众人皆醉你独醒？

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@whoami9894 #20
可以看看我这段回复 V 站是怎么过滤的，因为是标签外输出点，所以直接 HTMLencode 就完了

2020 年 4 月 24 日

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

XSS 的话，一般情况下对所有符号（`<>"&#`）进行 HTML encode 基本就没问题了，比如 PHP 的 htmlspecialchars 函数。
不过总有一些特殊场景，还是需要开发者有足够经验，比如标签内的输出点：`<a href="javascript:\u0061\u006c\u0065\u0072\u0074(1);">click</a>`

当然 CSP 也是好办法，但一样有不少绕过方式。国内外 SRC 上经常有大厂被挖出 XSS，想一劳永逸解决？不存在的

2020 年 4 月 20 日

回复了 getaobj 创建的主题 › 程序员 › cURL 命令转代码在线工具

XHR 的 timeout 设置太短了吧：`Error: timeout of 1000ms exceeded `，我这里都体验不到正常功能了

2020 年 4 月 13 日

回复了 whoami9894 创建的主题 › 分享发现 › 分享一个今天踩得 MySQL 编码坑

@Vegetable
确实。我原来一直以为输入法只有特殊字符会输入全角

2020 年 4 月 10 日

回复了 revalue 创建的主题 › 程序员 › 面试遇到个怪像： JWT 没用到哈希算法，也没用到不可逆加密啊

@whoami9894 #38
笔误了
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + urlsafe_base64_enc(HMAC_SHA256(HEADER + DATA, SECRET_KEY))
当然这只是一个示例，实际上 JWT 是对 HEADER 和 DATA 分别编码，然后用"."连接三段 HEADER, DATA 和 SIGN

2020 年 4 月 10 日

回复了 revalue 创建的主题 › 程序员 › 面试遇到个怪像： JWT 没用到哈希算法，也没用到不可逆加密啊

你可以这样理解 JWT：
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + HMAC_SHA256(urlsafe_base64_enc(HEADER + DATA), SECRET_KEY)
HMAC 的意义是保证了不知道 SECRET_KEY 的情况下可以拿到 DATA 明文，但无法篡改
当然这是 HS 的情况，另一种 RS 则是通过 RSA 私钥签名，公钥验证

2020 年 4 月 9 日

回复了 yech1990 创建的主题 › 程序员 › 吐槽一下 R 语言的“魔法”，顺便请教一下元编程在其他语言中的实现。

@yech1990 具体的记不太清了，能不能实现 substitute 存疑

这篇文章是用 Clojure 举例的： https://liujiacai.net/blog/2017/10/01/macro-in-action/#syntax-quote-amp-unquote，不同方言的实现也不太一样

2020 年 4 月 8 日

回复了 yech1990 创建的主题 › 程序员 › 吐槽一下 R 语言的“魔法”，顺便请教一下元编程在其他语言中的实现。

感觉跟语言本身的求值方式有关，函数内可以判断参数是 symbol 还是 literal，而且我试了一下 substitute 能 resolve 到外部调用函数时的 symbol 名称
没写过 R 看不太懂，什么情况下需要 substitute 函数的功能？ Lisp 的话，syntax-quote 能做到吗？

1 2 3 4 5 6 7 8 9 10 ... 34

❮

❯