2011年12月4日

JAVA 繼承基本類、抽象類、接口

Java是一個面向對象的語言，java面向對象一般有三大特征：封裝、繼承、多態。

封裝：就是把一些屬性和方法封裝到一個類里。

繼承：就如子類繼承父類的一些屬性和方法。

多態：就如一個父類有多個不同特色的子類。

這里我就不多講解，下面我主要說明一個繼承。繼承是OOP（面向對象）的一個特色，java只支持單繼承（如果繼承兩個有同樣方法的父類，那么就不知道繼承到那個父類的，所以java只支持單繼承）。繼承是java的一個特色，我們用的所以類都繼承Objict類，所以就要Object類的方法，如toString()、getClass()、wait()……所以我們建立的類都有父類。

Java中一般有三種類：

基本類:也就是一般的類（一般所說的類就是基本類），是對象的模板，是屬性和方法的集合。可以繼承其他基本類、抽象類、實現接口。

抽象類：有抽象方法的類(抽象方法就是該方法必須由繼承來實現，本身只定義，不實現)。抽象類可以有一個或多個抽象方法，他是基本類和接口類的過度。

接口類：一般叫做接口，該類中的所有方法都是抽象方法，該類的方法本身只定義不實現。

抽象類和接口一個由【abstract class + 抽象類名】一個由【interface +接口名】定義，接口中的所以方法都是抽象方法，而抽象類有部分方法是自身實現了的，一些只定義不實現。

基本類的定義：

public class Fruit {

    public void price() {

       System.out.println("水果價格");

    }

    public void weight() {

       System.out.println("水果重量");

    }

}

抽象類的定義：

public abstract class Fruit {

    public void price() {

       System.out.println("水果價格");

    }

    public abstract void weight();

}

接口類的定義：

public interface Fruit {

public void price();

public void weight() ;

}

從上面我們可以看出接口就是抽象類的升級版，由于該類的方法全是抽象方法，所以把abstract換成interface。而接口的方法必須由子類才能實現。

繼承

繼承基本類，可以繼承父類的方法，也可以從些，也可以擴充。下面是實現接口基本類的類：

public class Apple extends Fruit {

}

該類中就有Fruit基本類中的兩個方法：price()和weight()；

繼承抽象類，必須實現抽象類的抽象方法，可以修改父類的方法，和添加方法。下面是繼承抽象類的類：

public class Apple extends Fruit {

    @Override

    public void weight() {

       System.out.println("水果重量");

    }

}

該類繼承類Fruit的price()方法，同時實現了Fruit抽象類的weight()方法。

繼承接口類（也就實現接口），必須實現接口類的所有的抽象類和添加了。下面是繼承接口的類：

public class Aple implements Fruit {

    @Override

    public void price() {

       System.out.println("水果價格");

    }

    @Override

    public void weight() {

       System.out.println("水果重量");

    }

}

該類是實現Fruit接口的所以抽象方法。

Java只支持單繼承（繼承基本類和抽象類），但是我們可以用接口來實現（多繼承接口來實現）

如：public class Apple extends Fruit implements Fruit1, Fruit2{}

一般我們繼承基本類和抽象類用extends關鍵字，實現接口類的繼承用implements關鍵字。其實繼承是很簡單的，可以就是沒有弄清這兩個關鍵字，當我們弄清楚也就是比較簡單的。

接口也可以繼承接口如：public interface Fruit1 extends Fruit {}這是接口中的多重繼承，同理抽象類和基本類也同理。如果我們把基本類添加final修飾，也就定義該類不被繼承，該類不能作為父類。同時基本類的方法可以用public 、private、proptected來修飾方法，用final來阻止繼承該方法。

這里只是自己的理解，有些地方時用詞不當的，只是覺得這樣用詞更好的理解，請大家諒解。有些地方由于不是這里的重點，沒有講清楚，希望大家通過其他方式了解。

posted @ 2011-12-04 23:08 陳小東閱讀(1076) | 評論 (0) | 編輯收藏

java實現冒泡排序

public class BubbleSort implements SortUtil.Sort{

public void sort(int[] data) {

int temp;

for(int i=0;i<data.length;i++){

for(int j=data.length-1;j>i;j--){

if(data[j]<data[j-1]){

SortUtil.swap(data,j,j-1);

}

posted @ 2011-12-04 22:58 陳小東閱讀(1124) | 評論 (0) | 編輯收藏

java插入排序

public class InsertSort implements SortUtil.Sort{

public void sort(int[] data) {

int temp;

for(int i=1;i<data.length;i++){

for(int j=i;(j>0)&&(data[j]<data[j-1]);j--){

SortUtil.swap(data,j,j-1);

}

posted @ 2011-12-04 22:57 陳小東閱讀(732) | 評論 (0) | 編輯收藏

2011年12月3日

什么是SQL注入式攻擊？
所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：
⑴ 某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和密碼。
⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子：
System.Text.StringBuilder query = new System.Text.StringBuilder(
   "SELECT * from Users WHERE login = '")
   .Append(txtLogin.Text).Append("' AND password='")
   .Append(txtPassword.Text).Append("'");

⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內容。
⑷ 用戶輸入的內容提交給服務器之后，服務器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令，但由于攻擊者輸入的內容非常特殊，所以最后得到的SQL命令變成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
⑸ 服務器執行查詢或存儲過程，將用戶輸入的身份信息和服務器中保存的身份信息進行對比。
⑹ 由于SQL命令實際上已被注入式攻擊修改，已經不能真正驗證用戶身份，所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用于驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字符串篡改查詢改變其原來的功能，欺騙系統授予訪問權限。
系統環境不同，攻擊者可能造成的損害也不同，這主要由應用訪問數據庫的安全權限決定。如果用戶的帳戶具有管理員或其他比較高級的權限，攻擊者就可能對數據庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表
如何防范SQL注入式攻擊？
好在要防止ASP.NET應用被SQL注入式攻擊闖入并不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL命令之前，把所有輸入內容過濾一番就可以了。過濾輸入內容可以按多種方式進行。
⑴ 對于動態構造SQL查詢的場合，可以使用下面的技術：
第一：替換單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。再來看前面的例子，"SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'"顯然會得到與"SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'"不同的結果。
第二：刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類如"SELECT * from Users WHERE login = 'mas' -- AND password =''"之類的查詢，因為這類查詢的后半部分已經被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問權限。
第三：對于用來執行查詢的數據庫帳戶，限制其權限。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由于隔離了不同帳戶可執行的操作，因而也就防止了原本用于執行SELECT命令的地方卻被用于執行INSERT、UPDATE或DELETE命令。
⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。
⑶ 限制表單或查詢字符串輸入的長度。如果用戶的登錄名字最多只有10個字符，那么不要認可表單中輸入的10個以上的字符，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。
⑷ 檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和服務器端都執行——之所以要執行服務器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。
在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接刪除腳本），然后將非法內容通過修改后的表單提交給服務器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在服務器端也執行驗證。你可以使用許多內建的驗證對象，例如 RegularExpressionValidator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入服務器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己創建一個。
⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據，然后再將它與數據庫中保存的數據比較，這相當于對用戶輸入的數據進行了"消毒"處理，用戶輸入的數據不再對數據庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。 System.Web.Security.FormsAuthentication類有一個 HashPasswordForStoringInConfigFile，非常適合于對輸入數據進行消毒處理。
⑹ 檢查提取數據的查詢所返回的記錄數量。如果程序只要求返回一個記錄，但實際返回的記錄卻超過一行，那就當作出錯處理

posted @ 2011-12-03 00:06 陳小東閱讀(1104) | 評論 (0) | 編輯收藏

用HQL進行實體查詢

實體查詢
例子1：

Hql代碼

String hql=”from User user ”; 　　
List list=session.CreateQuery(hql).list();

String hql=”from User user ”; 　　
List list=session.CreateQuery(hql).list();

因為HQL語句與標準SQL語句相似，所以我們也可以在HQL語句中使用where字句，并且可以在where字句中使用各種表達式，比較操作符以及使用“and”,”or”連接不同的查詢條件的組合?？聪旅娴囊恍┖唵蔚睦樱?

Hql代碼

from User user where user.age=20;

from User user where user.age=20;

例子2（返回一個屬性）：

Hql代碼

String hql= "select c.customerNamefrom Customer c“;
Query query= session.createQuery(hql);
Iteratorit = query.list().iterator();
System.out.println(query.list().size());
while(it.hasNext()) {
String c = (String)it.next();
System.out.println(c);
}

String hql= "select c.customerNamefrom Customer c“;
Query query= session.createQuery(hql);
Iteratorit = query.list().iterator();
System.out.println(query.list().size());
while(it.hasNext()) {
String c = (String)it.next();
System.out.println(c);
}

例子3（返回多個屬性）：
如果返回多個屬性，那么它們將被裝入數組或者集合中

Hql代碼

String hql= "select c.customerId, c.customerName“+
“from Customer c“;
Query query= session.createQuery(hql);
Iteratorit = query.list().iterator();
while(it.hasNext()) {
Object[] obj= (Object[])it.next(); // List list= (List)it.next();
Long id = (Long)obj[0]; //Long id = (Long)list.get(0);
String name = (String)obj[1]; //String name = (String)list.get(1);
System.out.println(id.longValue() + " " + name);
}

posted @ 2011-12-03 00:05 陳小東閱讀(691) | 評論 (0) | 編輯收藏

2011年11月29日

“md5+隨機”方式加密

摘要：

1 加Salt散列
2 ASP.NET 2.0 Membership中與密碼散列有關的代碼

聲明：本文所羅列之源代碼均通過Reflector取自.NET Framework類庫，引用這些代碼僅出于學習和研究的目的。

其實，對密碼進行散列存儲不是一個新鮮話題了，解決起來也不是很難，但很多人還是不大了解。這個小文只是強調一下“加Salt散列”這個簡單的技術，并給出ASP.NET Membership所使用的代碼。

本來打算寫一篇介紹如何實現用戶登錄功能的文章的，但因為時間有限，所以先介紹一下密碼的散列，下一篇再介紹用戶登錄。

----

1 密碼必須散列存儲

（內容略）

2 加Salt散列

我們知道，如果直接對密碼進行散列，那么黑客（統稱那些有能力竊取用戶數據并企圖得到用戶密碼的人）可以對一個已知密碼進行散列，然后通過對比散列值得到某用戶的密碼。換句話說，雖然黑客不能取得某特定用戶的密碼，但他可以知道使用特定密碼的用戶有哪些。

加Salt可以一定程度上解決這一問題。所謂加Salt，就是加點“佐料”。其基本想法是這樣的——當用戶首次提供密碼時（通常是注冊時），由系統自動往這個密碼里撒一些“佐料”，然后再散列。而當用戶登錄時，系統為用戶提供的代碼撒上同樣的“佐料”，然后散列，再比較散列值，已確定密碼是否正確。

這里的“佐料”被稱作“Salt值”，這個值是由系統隨機生成的，并且只有系統知道。這樣，即便兩個用戶使用了同一個密碼，由于系統為它們生成的salt值不同，他們的散列值也是不同的。即便黑客可以通過自己的密碼和自己生成的散列值來找具有特定密碼的用戶，但這個幾率太小了（密碼和salt值都得和黑客使用的一樣才行）。

下面詳細介紹一下加Salt散列的過程。介紹之前先強調一點，前面說過，驗證密碼時要使用和最初散列密碼時使用“相同的”佐料。所以Salt值是要存放在數據庫里的。

用戶注冊時：

1）用戶提供密碼（以及其他用戶信息）；
2）系統為用戶生成Salt值；
3）系統將Salt值和用戶密碼連接到一起；
4）對連接后的值進行散列，得到Hash值；
5）將Hash值和Salt值分別放到數據庫中。

登錄時：
1）用戶提供用戶名和密碼；
2）系統通過用戶名找到與之對應的Hash值和Salt值；
3）系統將Salt值和用戶提供的密碼連接到一起；
4）對連接后的值進行散列，得到Hash'（注意有個“撇”）；
5）比較Hash和Hash'是否相等，相等則表示密碼正確，否則表示密碼錯誤。

3 ASP.NET 2.0 Membership中的相關代碼
（省略關于Membership的介紹若干字）
本文Anders Liu僅研究了SqlMembershipProvider，該類位于System.Web.dll，System.Web.Security命名空間中。
首先，要使用Membership，必須先用aspnet_regsql.exe命令來配置數據庫，該工具會向現有數據庫中添加一系列表和存儲過程等，配置好的數據庫中有一個表aspnet_Membership，就是用于存放用戶帳戶信息的。其中我們所關注的列有三個——Password、PasswordFormat和PasswordSalt。

Password存放的是密碼的散列值，PasswordFormat存放用于散列密碼所使用的算法，PasswordSalt就是系統生成的Salt值了。

網站安全了，程序自然也就復雜了...
     discuz的加密方式：md5(md5($password).$salt)，$salt是一個6位隨機數。
     注冊的時候，把用戶的密碼用md5(md5($password).$salt)加密，$salt是一個6位隨機數字，下面是我的一個獲取6位隨機數的一個方法：
     function randstr($len=6) {
     $chars='abcdefghijklmnopqrstuvwxyz0123456789';
// characters to build the password from
     mt_srand((double)microtime()*1000000*getmypid());
// seed the random number generater (must be done)
     $password='';
     while(strlen($password)<$len)
         $password.=substr($chars,(mt_rand()%strlen($chars)),1);
     return $password;
}
     $salt=randstr();把randstr()賦值給$salt，然后用md5(md5(會員提交的密碼).$salt)加密就可以了，但是千萬不要忘了把$salt入庫哦（uc_members表）。
     登陸的時候根據用戶名把$salt取出來，用md5(md5(會員提交的密碼).$salt)匹配密碼，如果一樣就登陸成功了

posted @ 2011-11-29 09:40 陳小東閱讀(1010) | 評論 (2) | 編輯收藏

繼承的優缺點

繼承的優缺點
優點
新的實現很容易，因為大部分是繼承而來的
很容易修改和擴展已有的實現

缺點
打破了封裝，因為基類向子類暴露了實現細節
白盒重用，因為基類的內部細節通常對子類是可見的
當父類的實現改變時可能要相應的對子類做出改變
不能在運行時改變由父類繼承來的實現
由此可見，組合比繼承具有更大的靈活性和更穩定的結構，一般情況下應該優先考慮組合。只

有當下列條件滿足時才考慮使用繼承：
子類是一種特殊的類型，而不只是父類的一個角色
子類的實例不需要變成另一個類的對象
子類擴展，而不是覆蓋或者使父類的功能失效

posted @ 2011-11-29 09:37 陳小東閱讀(2605) | 評論 (2) | 編輯收藏

2011年11月24日

視圖與臨時表的區別

臨時表
    臨時表與永久表相似，但臨時表存儲在 tempdb 中，當不再使用時會自動刪除。
    臨時表有兩種類型：本地和全局。它們在名稱、可見性以及可用性上有區別。本地臨時表的名稱以單個數字符號 (#) 打頭；它們僅對當前的用戶連接是可見的；當用戶從 SQL Server 實例斷開連接時被刪除。全局臨時表的名稱以兩個數字符號 (##) 打頭，創建后對任何用戶都是可見的，當所有引用該表的用戶從 SQL Server 斷開連接時被刪除。
    例如，如果創建了 employees 表，則任何在數據庫中有使用該表的安全權限的用戶都可以使用該表，除非已將其刪除。如果數據庫會話創建了本地臨時表 #employees，則僅會話可以使用該表，會話斷開連接后就將該表刪除。如果創建了 ##employees 全局臨時表，則數據庫中的任何用戶均可使用該表。如果該表在您創建后沒有其他用戶使用，則當您斷開連接時該表刪除。如果您創建該表后另一個用戶在使用該表，則 SQL Server 將在您斷開連接并且所有其他會話不再使用該表時將其刪除。

視圖視圖
    可以被看成是虛擬表或存儲查詢。除非是索引視圖，否則視圖的數據不會作為非重復對象存儲在數據庫中。數據庫中存儲的是 SELECT 語句。SELECT 語句的結果集構成視圖所返回的虛擬表。用戶可以采用引用表時所使用的方法，在 Transact-SQL 語句中引用視圖名稱來使用此虛擬表
    視圖是一個虛擬表，其內容由查詢定義。同真實的表一樣，視圖包含一系列帶有名稱的列和行數據。視圖在數據庫中并不是以數據值存儲集形式存在，除非是索引視圖。行和列數據來自由定義視圖的查詢所引用的表，并且在引用視圖時動態生成。
對其中所引用的基礎表來說，視圖的作用類似于篩選。定義視圖的篩選可以來自當前或其他數據庫的一個或多個表，或者其他視圖。分布式查詢也可用于定義使用多個異類源數據的視圖。例如，如果有多臺不同的服務器分別存儲您的單位在不同地區的數據，而您需要將這些服務器上結構相似的數據組合起來，這種方式就很有用。
    通過視圖進行查詢沒有任何限制，通過它們進行數據修改時的限制也很少。
    視圖種類：索引視圖和索引視圖
    SQL Server 2005 查詢處理器對索引視圖和非索引視圖將區別對待：索引視圖的行以表的格式存儲在數據庫中。如果查詢優化器決定使用查詢計劃的索引視圖，則索引視圖將按照基表的處理方式進行處理。只有非索引視圖的定義才存儲，而不存儲視圖的行。查詢優化器將視圖定義中的邏輯納入執行計劃，而該執行計劃是它為引用非索引視圖的 SQL 語句生成的。
    SQL Server 查詢優化器用于決定何時使用索引視圖的邏輯與用于決定何時對表使用索引的邏輯相似。如果索引視圖中的數據包括所有或部分 SQL 語句，而且查詢優化器確定視圖的某個索引是低成本的訪問路徑，則不論查詢中是否引用了該視圖的名稱，查詢優化器都將選擇此索引。當 SQL 語句引用非索引視圖時，分析器和查詢優化器將分析 SQL 語句的源和視圖的源，然后將它們解析為單個執行計劃。

posted @ 2011-11-24 09:19 陳小東閱讀(1003) | 評論 (0) | 編輯收藏

常見的數據庫基礎面試題大全

1. 數據抽象：物理抽象、概念抽象、視圖級抽象,內模式、模式、外模式
2. SQL語言包括數據定義、數據操縱(Data Manipulation),數據控制(Data Control)
數據定義：Create Table,Alter Table,Drop Table, Craete/Drop Index等
數據操縱：Select ,insert,update,delete,
數據控制：grant,revoke
3. SQL常用命令：
CREATE TABLE Student(
ID NUMBER PRIMARY KEY,
NAME VARCHAR2(50) NOT NULL);//建表
CREATE VIEW view_name AS
Select * FROM Table_name;//建視圖
Create UNIQUE INDEX index_name ON TableName(col_name);//建索引
INSERT INTO tablename {column1,column2,…} values(exp1,exp2,…);//插入
INSERT INTO Viewname {column1,column2,…} values(exp1,exp2,…);//插入視圖實際影響表
UPDATE tablename SET name=’zang 3’ condition;//更新數據
DELETE FROM Tablename WHERE condition;//刪除
GRANT (Select,delete,…) ON (對象) TO USER_NAME [WITH GRANT OPTION];//授權
REVOKE (權限表) ON(對象) FROM USER_NAME [WITH REVOKE OPTION] //撤權
列出工作人員及其領導的名字：
Select E.NAME, S.NAME FROM EMPLOYEE E S
WHERE E.SUPERName=S.Name
4. 視圖：
5. 完整性約束：實體完整性、參照完整性、用戶定義完整性
6. 第三范式：
1NF:每個屬性是不可分的。 2NF:若關系R是１NF,且每個非主屬性都完全函數依賴于R的鍵。例SLC(SID#, CourceID#, SNAME,Grade),則不是2NF; 3NF:若R是2NF，且它的任何非鍵屬性都不傳遞依賴于任何候選鍵。
7. ER(實體/聯系)模型
8. 索引作用
9. 事務：是一系列的數據庫操作，是數據庫應用的基本邏輯單位。事務性質：原子性、
? 原子性。即不可分割性，事務要么全部被執行，要么就全部不被執行。
? 一致性或可串性。事務的執行使得數據庫從一種正確狀態轉換成另一種正確狀態
? 隔離性。在事務正確提交之前，不允許把該事務對數據的任何改變提供給任何其他事務，
? 持久性。事務正確提交后，其結果將永久保存在數據庫中，即使在事務提交后有了其他故障，事務的處理結果也會得到保存。
10. 鎖：共享鎖、互斥鎖
兩段鎖協議：階段１：加鎖階段階段２：解鎖階段
11. 死鎖及處理：事務循環等待數據鎖，則會死鎖。
死鎖處理：預防死鎖協議，死鎖恢復機制
12. 存儲過程：存儲過程就是編譯好了的一些sql語句。
1.存儲過程因為SQL語句已經預編繹過了，因此運行的速度比較快。
2. 可保證數據的安全性和完整性。通過存儲過程可以使沒有權限的用戶在控制之下間接地存取數據庫，從而保證數據的安全。通過存儲過程可以使相關的動作在一起發生，從而可以維護數據庫的完整性。
3.可以降低網絡的通信量。存儲過程主要是在服務器上運行，減少對客戶機的壓力。
4：存儲過程可以接受參數、輸出參數、返回單個或多個結果集以及返回值?？梢韵虺绦蚍祷劐e誤原因
5：存儲過程可以包含程序流、邏輯以及對數據庫的查詢。同時可以實體封裝和隱藏了數據邏輯。
13. 觸發器：當滿足觸發器條件，則系統自動執行觸發器的觸發體。
觸發時間：有before,after.觸發事件：有insert,update,delete三種。觸發類型：有行觸發、語句觸發
14.內聯接,外聯接區別？
內連接是保證兩個表中所有的行都要滿足連接條件，而外連接則不然。
在外連接中，某些不滿條件的列也會顯示出來，也就是說，只限制其中一個表的行，而不限制另一個表的行。分左連接、右連接、全連接三種

posted @ 2011-11-24 09:17 陳小東閱讀(5879) | 評論 (1) | 編輯收藏