表达式引擎 aviator

https://blog.csdn.net/qq_27384769/article/details/80639122

@cnskis 提给学校吧。教务系统，一般是自研，或者付费购买的。 以前 wooyun 还在的时候，看到过几个《方正教务系统，新开普教务系统》的漏洞，感觉也没有人管，还要被公开漏洞细节。

提给学校的话，直接说你拿到数据的步骤，然后提供一个泄露数据的截图 警告下 就好了。 当初我也发现了一些校务漏洞，用匿名邮件的方式发给学校，学校还邀请我去喝茶谈谈。我没胆去，只是邮件回复保证数据我都没有保留，后来漏洞还是悄悄修了。

@dazhangpan

可以换一个思路，我认为这个题目，考察的内容，非常接近 RC4 的流式加密算法，有个文章链接：
https://www.cnblogs.com/gambler/p/9075415.html

题目中给出的 foo()函数 [产生 0-1 随机数] ，我们可以用来初始化 流式加密的 init 映射状态。随后的 随机数产生，可以完全不依赖 foo()函数，完全依靠流式加密的方式，产生概率 10%的 [0-9]

==============Java 代码如下==================

package com.ic2y;

public class RandomNumber {
private static int MAPPING_LEN = 10;
//映射 0-9 的 关系
private int[] mapping = new int[MAPPING_LEN];
private int i = 0;
private int j = 0;
public RandomNumber(){
//初始化 mapping,再进行打乱
for(int i = 0;i < 10;++i){
mapping[i] = i;
}
//shuffle 算法，
for ( int i = MAPPING_LEN; i > 0; i-- ){
swap(getRandomLessTen(), i - 1);
}
}

private int getRandomLessTen(){
int val;
do {
val = doGetRandomLessTen();
if(val < 10){
return val;
}
}while (true);
}

private int doGetRandomLessTen(){
int val = 0;
for(int i = 0;i <4;++i){
val = val * 2 + foo();
}
return val;
}

//已知的产生 0 1 随机数的 函数
private int foo(){
return (int)System.currentTimeMillis() % 2;
}

//外界调用 boo 产生 0-9 随机数
public int boo(){
i = (i + 1) % MAPPING_LEN;
j = (j + mapping[i]) % MAPPING_LEN;
swap(i,j);
return mapping[(mapping[i] + mapping[j]) % MAPPING_LEN];
}

private void swap(int l,int r){
int tmp = mapping[l];
mapping[l] = mapping[r];
mapping[r] = tmp;
}


public static void main(String[] args){
RandomNumber r = new RandomNumber();
int testNumber = 100000;
int[] f = new int[10];
for(int i = 0;i < testNumber;++i){
++f[r.boo()];
}

float fTestNumber = (float)testNumber;
for(int i = 0; i < 10;++i){
System.out.println(String.format("Num:%d Probability:%.2f count:%d",i,f[i] / fTestNumber,f[i]));
}

}
}

=======结果=======

Num:0 Probability:0.10 count:9863
Num:1 Probability:0.10 count:10051
Num:2 Probability:0.10 count:10054
Num:3 Probability:0.10 count:10024
Num:4 Probability:0.10 count:10031
Num:5 Probability:0.10 count:9942
Num:6 Probability:0.10 count:10007
Num:7 Probability:0.10 count:9877
Num:8 Probability:0.10 count:10083
Num:9 Probability:0.10 count:10068

1. 如果你用的 innodb 引擎，最好用自增值做主键（主键是聚簇索引）。因为 Mysql 的 innodb 引擎使用自增连续的值，可以规避 B+树的频繁分裂和调整。

2.对于非主键的索引，都是非聚簇索引，每个非聚簇索引的叶子节点存储的是主键的具体值（可以规避插入更新中 B+树的调整）。也就是说：如果主键用 UUID,那么其他的索引都变相的变大了几倍，会导致磁盘空间的浪费。

@passerbytiny 我回复了这么多，不是说不能实现。企业都是讲“成本”的，不是为了支持黑科技或者新特性。 成本：不光是 开发人员的开发成本和接入成本、还有服务器（ client 和 server ）的内存消耗和 CPU 消耗。

如果支持 RESTful 风格 很容易支持的话，早就全支持了。 业务方不允许你的采集程序占用额外的内存和 CPU，自己部署的中间件平台为了额外的模式提取需要付出性能代价 而加机器。这些个都是成本制约。

如果 RESTful 风格 在没有上下文的前提下，很容易像 POST 一样提取模式，无其他明显成本消耗，就不会这么不建议了。


api?k1=v1&k2=v2 (没有上下文，各个系统能快速解析)

与

api/k1/v1/k2/v2 或者 /mock/a/k1/v2 （没有上下文，面对海量的各种地址的 URL 请求，需要付出额外的资源进行解析）

@unco020511 如果是一个大厂，只用 GET 和 POST 还是比较靠谱的。 用 RESTful 风格 可能会有不少潜在麻烦。可能的问题有：

1.监控问题：因为监控 URL 请求的时候，需要进行 URL 聚合统计操作，如果用 RESTful 风格 非常难以提取 URL 的模型进行聚合（因为有人用 python，有人用 java，还有不同的应用框架，非常难以在 client 端进行 url 模式提取。而在 server 端模式提取要求的性能又很高。还不如直接用 get 和 post ）。

2.配套的日志采集系统：RESTful 风格 在独立上下文的日志引擎里，很难用 URL 进行模式提取。

3.配套的其他系统的问题： 统一 API 网关接入（如果是自研的，需要完整支持 restful 风格）。自动化测试系统（如果自研，也要兼容）。代码审计和代码覆盖平台 等等。

如果你用了 RESTful 风格，那么需要整个 开发运维链路上的每个环节，都要支持完整的操作。但是实际上，很多系统只是支持简单的 GET 和 POST 协议。

你不得不推动 每个团队来支持你的需求，这个等待 是很麻烦的。

hashcode 是在 JVM 里实现的

这个值，可以通过配置参数，改变行为 (-XX:hashCode=1)
0. A randomly generated number.
1. A function of memory address of the object.
2. A hardcoded 1 (used for sensitivity testing.)
3. A sequence.
4. The memory address of the object, cast to int.
5. Thread state combined with xorshift ( https://en.wikipedia.org/wiki/Xorshift)

JDK6 和 7 默认使用 0，一个随机数算法 http://hg.openjdk.java.net/jdk8u/jdk8u/hotspot/file/87ee5ee27509/src/share/vm/runtime/os.cpp#l814。
JDK8 开始默认使用 5，是一个跟线程有关的生成算法。

用 MXBean，项目启动的时候，自己获取自己的 pid，写入一个特殊的位置。kill 的时候，直接 cat 文件，然后 确认是进程本身，然后杀死。给你个代码

RuntimeMXBean runtime = ManagementFactory.getRuntimeMXBean();
/**
* "pid@hostname"
*/
String name = runtime.getName(); // format:
try {
return Integer.parseInt(name.substring(0, name.indexOf('@')));
} catch (Exception e) {
return -1;
}

可以，坐等安卓

什么建站系统没有说，没有贴 ERROR 信息，没有 Log 信息，没有现场截图。

提问都不认真，大家怎么给你回答？你当大家都站在你屏幕前看着啊。

强制要求所有的程序内嵌 http 服务，进行 状态检测和 负载信息收集。

@tail2 看看这个库 https://0kee.360.cn/hxj/#/

@vzyw @FakeLeung 能不能发个销售的 url ？ 我在官网看不到这样的价格，谢谢。

还是比较难的，要三思．很可能折腾半天，连你原来的工资都不如．

另外，工资也是看地方的．二三线的程序员工资也是一般吧．

大型互联网公司喜欢低价能干活的年轻人，他们吃苦能熬夜加班．你有家庭有小孩有老婆的，要想好．

要么有技术，要么有学历，两样总要占一样．不然面试筛选都过不去．

就听到的一些朋友的亲戚去培训班的情况来说，培训班基本都是坑．学费高，上课放视频，作业是以前的老学员留下来当辅导员批改的，最后教学员伪造工程经历，伪造工作经历．感觉钱花的不值，４个月３万快的学费，你想想．

穿墙，去看看 google 官方教程 https://source.android.com/setup/build/downloading，谁都能修改 AOSP，再编译使用。

我是分母

pcmanfm