整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
家好,我是 Echa。
依赖注入 DI (Dependency Injection) 是编程领域中一个非常常见的设计模式,它指的是将应用程序所需的依赖关系(如服务或其他组件)通过构造函数参数或属性自动注入的过程。这样做的好处是可以减少组件之间的耦合,更容易测试和维护。
我们先举个简单的例子,我们有两个简单的 A 类和 B 类,在 B 类中依赖了 A 类,我们在 B 类中对它进行实例化,并调用它的方法:
class A {
constructor(name) {
this.name = name;
}
log() {
console.log("name: ", this.name);
}
}
class B {
a = new A("Echa");
start() {
this.a.log();
}
}
const b = new B();
b.start();
但是这种写法是非常不灵活的, A 类作为一个依赖项,它的初始化的逻辑被硬编码到了 B 类中,如果我们想添加或修改其他的依赖项,必须要不断修改 B 类。
借助依赖注入的设计思想,我们可以将代码改写成下面这样:
class A {
constructor(name) {
this.name = name;
}
log() {
console.log("name: ", this.name);
}
}
class B {
constructor(a) {
this.a = a;
}
start() {
this.a.log();
}
}
const a = new A();
const b = new B(a);
b.start();
代码只做了很小的改动,最核心的变化就是我们将 A 类和 B 的实现完全分离开来了,他们无需再关心依赖的实例化,因为我们将依赖的注入提到的最外侧。
这也就是为什么我们常常将依赖注入和控制反转 IoC (Inversion of Control) 放在一起讲,控制反转即将创建对象的控制权进行转移,以前创建对象的主动权和创建时机是由自己把控的,而现在这种权力转移到第三方。
可能在这样简单的代码中我们还看不出来什么好处,但是在大型的代码库中,这种设计可以显着帮助我们减少样板代码,创建和连接依赖项的工作由一段程序统一处理,我们无需担心创建特定类所需的类的实例。
在 JavaScript 的各大框架中,依赖注入的设计模式也发挥着非常重要的作用,在 Angular、Vue.js、Next.js 等框架中都用到了依赖注入的设计模式。
在 Angular 中大量应用了依赖注入的设计思想。Angular 使用依赖注入来管理应用的各个部分之间的依赖关系,以及如何将这些依赖关系注入到应用中,例如你可以使用依赖注入来注入服务、组件、指令、管道等。
比如我们现在有个日志打点的工具类,我们可以使用 Injectable 将其指定为可注入对象。
// logger.service.ts
import { Injectable } from '@angular/core';
@Injectable({providedIn: 'root'})
export class Logger {
writeCount(count: number) {
console.warn(count);
}
}
然后在组件中使用时,无需进行实例化,直接在 constructor 的参数中就可以取出自动注入好的对象:
// hello-world-di.component.ts
import { Component } from '@angular/core';
import { Logger } from '../logger.service';
@Component({
selector: 'hello-world-di',
templateUrl: './hello-world-di.component.html'
})
export class HelloWorldDependencyInjectionComponent {
count = 0;
constructor(private logger: Logger) { }
onLogMe() {
this.logger.writeCount(this.count);
this.count++;
}
}
在 Vue.js 中,provide 和 inject 其实也使用了依赖注入的设计模式。
export default {
name: 'Parent',
provide() {
return {
user: this.user
};
},
data() {
return {
user: {
name: 'John',
age: 30
}
};
}
};
// 子组件
export default {
name: 'Child',
inject: ['user'],
computed: {
userName() {
return this.user.name;
}
}
};
在 React.js 中,并没有直接使用依赖注入的地方,不过我们依然可以借助一些第三方库来实现, 比如我们可以通过 InversifyJS 提供的 injectable decorator 标记 class 是可被注入的。
import { injectable } from "inversify";
export interface IProvider<T> {
provide(): T;
}
@injectable()
export class NameProvider implements IProvider<string> {
provide() {
return "World";
}
}
在组件中,我们可以直接调用注入的 provide 方法,而组件内部不用关心它的实现。
import * as React from "react";
import { IProvider } from "./providers";
export class Hello extends React.Component {
private readonly nameProvider: IProvider<string>;
render() {
return <h1>Hello {this.nameProvider.provide()}!</h1>;
}
}
前面我们提到的 InversifyJS 实际上就是一个专门用来实现依赖注入的工具库,它主要就由 injectable 、inject 等几个装饰器组成的,这么神奇的功能究竟是咋实现的呢,下面我们手动来实现一下。
首先我们来明确一个需求场景,假设我们要使用 Koa 框架开发一个简单的 Node.js 服务。
在 Koa 中,Controller 用来处理用户请求和响应,它负责接收用户的请求,然后调用相应的服务或业务逻辑进行处理,最后将处理结果返回给用户。Service 用来封装业务逻辑和数据处理,它负责实现应用程序的核心功能。
Service 通常会被多个 Controller 所调用,它们之间是松散耦合的关系,我们希望用两装饰器来实现 Service 的自动依赖注入:
export default class UserController extends Controller {
@Inject
user: UserService;
@UseService
async list(ctx: ThriftContext): Promise<void> {
const user = await this.user.findAll({ id: 1000 });
console.log(1, user);
}
}
在实现过程中我们可能会用到两个非常重要的 API,Metadata Reflection API 以及 Decorator API,我们先分别来回顾一下它们的基础知识。
装饰器模式是一种经典的设计模式,其目的是在不修改被装饰者(如某个函数、某个类等)源码的前提下,为被装饰者增加 / 移除某些功能。一些现代编程语言在语法层面提供了对装饰器模式的支持,并且各语言中的现代框架都大量应用了装饰器。主要用处分为两大类:
我们目前用的比较多的装饰器就是 TypeScript 的实验性装饰器,以及 ECMAScript中还处于 legacy 阶段的 Decorator API,下面是它的用法:
装饰类的时候,装饰器方法一般会接收一个目标类作为参数,下面是一个示例,给类增加静态属性、原型方法:
const addField = target => {
target.age = 17;
target.prototype.speak = function () {
console.log('xxx');
};
};
@addField
class People {
}
console.log(People.age);
const a = new People();
a.speak();
类属性装饰器可以用在类的属性、方法、get/set 函数中,一般会接收三个参数:
下面是一个示例,可以修改类属性为只读:
function readonly(target, name, descriptor) {
descriptor.writable = false;
return descriptor;
}
class Person {
@readonly name = 'person'
}
const person = new Person();
person.name = 'tom';
Reflect 是 JavaScript 中的一个内置对象,它提供了一组用于操作对象的方法。它与其他内置对象类似,但是它的目的是为了提供一组用于操作对象的通用方法。
Reflect Metadata 是 ES7 的一个提案,它主要用来在声明的时候添加和读取元数据。
Reflect.getMetadata('design:type', target, key) 可以用来获取类 target 中属性 key 的类型信息:
function Inject() {
return function (target: any, key: string, descriptor: PropertyDescriptor) {
const type = Reflect.getMetadata('design:type', target, key);
console.log(type); // [class Service]
return descriptor;
};
}
export default class WebsiteController extends Controller {
@Inject()
service: Service
// ...
}
Reflect.getMetadata('design:paramtypes', target, key) 可以用来获取类 target 中属性 key 的函数参数类型;
Reflect.getMetadata('design:returntype', target, key) 可以用来获取类 target 中属性 key 的函数返回值类型。
除能获取固定的类型信息之外,也可以自定义 MetaData,并在合适的时机获取它的值,示例如下:
function classDecorator(): ClassDecorator {
return target => {
// 在类上定义元数据,key 为 `classMetaData`,value 为 `a`
Reflect.defineMetadata('classMetaData', 'a', target);
};
}
@classDecorator()
class SomeClass {
}
Reflect.getMetadata('classMetaData', SomeClass); // 'a'
好了,有了这些知识,我们就可以手动来实现一个依赖注入装饰器了。
再明确一下我们的需求:在不同服务的 Controller 中共用 Service,使用 Service 时可以自动获取已注入的 Service 实例,同时 Service 里可以获取到请求的 Context 信息。
首先我们来实现,Inject 装饰器:
function Inject(target: any, key: string) {
console.log(`注册 Controller: ${target} Service: ${key}`);
// 获取当前 Service 的类型
const serviceClass = Reflect.getMetadata('design:type', target, key);
// 获取当前 Controller 已经注册过的 Service List
const serviceList = Reflect.getMetadata(META_KEY_CONTROLLER_SERVICE, target) || [];
// 将当前 Service 进行追加
Reflect.defineMetadata(
META_KEY_CONTROLLER_SERVICE,
[...serviceList, { serviceClass, serviceName: key }],
target
);
}
然后是 UseService 装饰器:
function UseService(target: any, name: string, descriptor: PropertyDescriptor) {
const value = descriptor.value;
descriptor.value = async function (...args: any) {
// 获取当前请求的 Context
const [ctx] = args;
// 取出当前 Controller 已绑定的 Service
const serviceList = Reflect.getMetadata(META_KEY_CONTROLLER_SERVICE, target) || [];
console.log(serviceList);
for (let i = 0; i < serviceList.length; i++) {
const { serviceClass, serviceName } = serviceList[i];
// 实例化 Service 并绑定 Context
const service = new serviceClass(ctx);
Reflect.set(service, 'ctx', ctx);
// 给当前 Controller 挂载 Service 实例
Reflect.set(target, serviceName, service);
}
return await Promise.resolve(value.apply(this, args));
};
return descriptor;
}
好了,接下来就可以愉快的使用了~
export default class UserController extends Controller {
@Inject
user: UserService;
@UseService
async list(ctx: ThriftContext): Promise<void> {
const user = await this.user.findAll();
console.log(1, user);
}
}
如果这篇文章帮助到了你,欢迎点赞和关注。
019年10月,贵阳某高校网站遭遇黑客攻击,登录页面被非法篡改为违法有害信息。警方根据《中华人民共和国网络安全法》第21条、 第59条之规定,依法对该高校及高校负责人分别处以10万元和5万元的行政罚款。
网站被攻击了,网站负责人还要被处罚,这到底是怎么回事?
实际上,《网络安全法》规定,网站运营者应负担网站网络安全保护义务。
近年来,网络安全形势日趋严峻,威胁持续上升。为检验企事业单位关键信息基础设施安全防护能力,提升网络安全应急处置队伍应对能力,自2016年起,我国每年都会定期开展“HW行动”,以全国范围内的真实网络目标为对象进行实战攻防活动。
今年是建党100周年,也是COP15(联合国《生物多样性公约》第十五次缔约方大会)的召开之年。新一轮的“HW行动”近期正在开展,我省安全主管部门加大了对各类网站的检测力度,严查可能出现的网络安全风险问题。
近一个月,蓝队云已经收到了多家被通报企业的紧急求助,这些网站或多或少都被检测出了不同类型的漏洞风险,并要求在规定时间内完成整改。
大部分被通报的网站会面临两种类型的漏洞。
1、软件代码漏洞
简单来说就是自行开发或使用的第三方公司提供的软件存在漏洞,这一类的漏洞一般是软件开发者代码编写不规范造成的隐患,或者是编程语言的局限性导致的漏洞,软件代码漏洞可能会被入侵者利用。
2、服务器漏洞
在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。一般服务器供应商只提供计算环境和网络带宽服务,服务器的密码和系统安全设置都掌握在用户自己手中,服务器安全依赖于使用主体对服务器的安全部署。
蓝队云根据近几年在“HW行动”中被通报的网站漏洞情况,将常见漏洞做了以下整理:
1、跨站脚本XSS
黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。
2、SQL注入
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
3、WEB服务器漏洞
服务器解析漏洞依然广泛存在,常见Web服务器的解析漏洞有Apache/Nginx/IIS等。
4、数据库漏洞
常见的数据库漏洞主要有Oracle/MySQL两大类。内外部黑客会想法利用管理、网络、主机或数据库的自身漏洞尝试入侵到数据库中,以达到自身的目的。
5、弱口令
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,通过系统弱口令,可被黑客直接获得系统控制权限。
6、信息泄漏漏洞
最常见的信息泄漏包含电子邮件地址泄漏、数据库信息泄漏、内网IP地址泄漏、网站路径泄漏风险,这类漏洞信息泄露可能是不慎泄露的,也有可能是攻击者通过恶意的交互从网站获得数据。
建议有预算的企事业单位、社会机构尽早进行安全策略的部署,防患于未然。蓝队云为云上用户提供基础的安全策略配置,可有效提升服务器的安全级别,同时附送5G基础流量型DDOS攻击防御;当然也可以请安全专家来进行整体加固,防范系统层和应用层的安全风险。
如果遇到自己处理不了的网站漏洞,也可以随时随地找队长免费救援,针对在护网中遇到“困难”的企业,我们可免费提供专家级风险评估服务,帮助您点对点处理问题。
京东SRC(Security Response Center)收录大量外部白帽子提交的sql注入漏洞,漏洞发生的原因多为sql语句拼接和Mybatis使用不当导致。
mysql5.0以上版本中存在一个重要的系统数据库information_schema,通过此数据库可访问mysql中存在的数据库名、表名、字段名等元数据。information_schema中有三个表成为了sql注入构造的关键。
SQL注入常用SQL函数
// sqli vuln code
Statement statement = con.createStatement();
String sql = "select * from users where username = '" + username + "'";
logger.info(sql);
ResultSet rs = statement.executeQuery(sql);
// fix code 如果要使用原始jdbc,请采用预编译执行
String sql = "select * from users where username = ?";
PreparedStatement st = con.prepareStatement(sql);使用未预编译原始jdbc作为demo,注意此demo中sql语句参数采用单引号闭合。
对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到SQL语句中。推荐使用浏览器扩展harkbar作为手工测试工具。https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc
正常页面应该显示如下:
admin后加单引号导致无信息回显,原因是后端sql执行报错,说明引号被拼接至SQL语句中
select * from users where username = 'admin' #正常sql
select * from users where username = 'admin'' #admin'被带入sql执行导致报错无法显示信息mysql中使用order by 进行排序,不仅可以是字段名也可以是字段序号。所以可以用来判断表中字段数,order by 超过字段个数的数字就会报错。
判断字段数
当order by 超过4时会报错,所以此表共四个字段。
后端所执行的sql语句
select * from users where username = 'admin' order by 1-- '此处我们将原本username的值admin替换为admin’ order by 1 —+,其中admin后的单引号用于闭合原本sql语句中的前引号,—+用于注释sql语句中的后引号。—后的+号主要作用是提供一个空格,sql语句单行注释后需有空格,+会被解码为空格。
主要用于定位后端sql字段在前端显示的位置,采用联合查询的方式确定。注意联合查询前后字段需一致,这也就是我们为什么做第二步的原因。
通过下图可知,后端查询并回显的字段位置为2,3位。
联合查询后的字段可以随意,本次采用的是数字1到4直观方便。
group_concat()函数用于将查询结果拼接为字符串。
sqlmap兼容python2和python3,可以自动化检测各类注入和几乎所有数据库类型。
-u 可能存在注入的url链接
-r读取http数据包
--data 指定post数据
--cookie 指定cookie
--headers 指定http头 如采用token认证的情况下
--threads 指定线程数
--dbms 指定后端的数据库
--os 指定后端的操作系统类型
--current-user 当前用户
--users 所有用户
--is-dba 是否是dba
--sql-shell 交互式的sqlshell
-p指定可能存在注入点的参数
--dbs 穷举系统存在的数据库
-D指定数据库
--tables 穷举存在的表
-T指定表
--column 穷举字段
-C指定字段
--dump dump数据直接检测
其中—cookie用于指定cookie,—batch 自动化执行,—dbms指定数据库类型
检测结果
读取系统中存在数据库
—dbs读取当前用户下的数据库
读取指定库下的表
-D java_sec_code —tables
dump users表数据
-D java_sec_code -T users —dump
//采用#不会导致sql注入,mybatis会使用预编译执行
@Select("select * from users where username = #{username}")
User findByUserName(@Param("username") String username);
//采用$作为入参可导致sql注入
@Select("select * from users where username = '${username}'")
List<User> findByUserNameVuln01(@Param("username") String username);//错误写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like '%${_parameter}%'
</select>
//正确写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like concat(‘%’,#{_parameter}, ‘%’)
</select>order by 后若使用#{}会导致报错,因为#{}默认添加引号会导致找不到字段从而报错。
//错误写法
<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
select * from users
<if test="order != null">
order by ${order} asc
</if>
</select>
//正确写法 id指字段id 此表字段共四个 所以id为1-4
<select id="OrderByUsername" resultMap="User">
select * from users order by id asc limit 1
</select>slqmap手册:https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.html
sql注入详解:http://sqlwiki.radare.cn/#/
*请认真填写需求信息,我们会在24小时内与您取得联系。
