One Trick Per Day
初始化Map建议用Guava指定预期大小,避免扩容;禁用Executors创建线程池,防止OOM,推荐自定义ThreadPoolExecutor或使用Guava;Arrays.asList返回不可变列表,禁止修改操作;遍历Map优先使用entrySet或forEach;SimpleDateFormat非线程安全,勿定义为static,推荐ThreadLocal或Java8新时间API;并发更新记录需加锁,优先乐观锁,冲突低时重试不少于3次。
了解SQL注入
SQL注入是通过构造恶意输入篡改数据库查询的攻击方式,可导致身份绕过、数据泄露、篡改甚至系统命令执行。其成因多为输入验证不足与动态拼接SQL语句。防御需结合白名单校验、参数化查询及错误信息屏蔽,并借助IPS等网络防护手段协同保障Web应用安全。
盲注和二阶 SQL 注入
SQL盲注通过延迟等间接方式判断语句执行,获取敏感信息或篡改数据库。攻击者利用sleep()或耗时操作引发响应延迟,分析执行结果。二阶SQL注入则利用存储后二次执行的数据,隐蔽性强,需结合参数化查询与严格验证防范。
何为跨域
CORS(跨域资源共享)是W3C标准,允许浏览器向跨源服务器发起XMLHttpRequest请求,突破AJAX同源限制。需浏览器和服务器共同支持,主流浏览器均兼容。通信由浏览器自动完成,开发者无需特殊编码。核心在于服务器配置CORS响应头,如Access-Control-Allow-Origin等。请求分为简单和非简单两类,后者会先发送OPTIONS预检请求确认权限。相比仅支持GET的JSONP,CORS支持所有HTTP方法,更灵活安全。
防御 SQL 注入攻击
SQL注入可在应用层和网络层检测防御。应用层防御主要包括输入验证(白名单更安全)和使用参数化查询防止恶意SQL构造。同时应过滤敏感字符、处理错误信息,避免泄露数据库细节,提升安全性。
CSRF攻击
CSRF(跨站请求伪造)攻击利用用户登录态,诱导其发起非自愿的请求,实现盗取资金、冒发帖子等恶意操作。攻击者通过钓鱼页面伪造请求,借助用户身份执行未授权操作。防御手段包括:使用Token验证、SameSite Cookie、检查Referer、避免GET修改数据等,可有效降低风险。
📈 模型评估
模型评估涵盖能力、安全与效率三大维度,包括语言理解、知识问答、推理代码等基础能力,对齐性及推理延迟、吞吐量等效率指标。常用MMLU、C-Eval、GSM8K等基准,结合Hugging Face工具实现自动化评估,面试关注幻觉检测、指标设计与人工vs自动权衡。
了解SQL注入
SQL是用于管理数据库的语言,广泛应用于各类Web应用。因输入验证不足,攻击者可利用SQL注入篡改SQL语句,窃取数据、绕过认证或执行恶意操作。OWASP将其列为头号安全威胁,防范至关重要。
常见的网络攻击
恶意软件指具有破坏性意图的程序,如病毒、勒索软件、间谍软件等,常通过钓鱼邮件或漏洞入侵系统,窃取数据、阻断服务或安装后门。网络钓鱼伪装成可信来源骗取敏感信息;中间人攻击则在通信中窃听或篡改数据;DDoS攻击利用僵尸网络泛洪目标,耗尽带宽资源;SQL注入通过输入恶意代码获取数据库信息;零日攻击利用未修复漏洞快速突袭;DNS隧道则借合法协议隐藏恶意流量,实现数据外泄与远程控制,严重威胁网络安全。
One Trick Per Day
初始化Map应避免直接指定大小,建议用Guava或手动计算容量;禁用Executors创建线程池,防止OOM,推荐自定义ThreadPoolExecutor;Arrays.asList返回不可变列表,禁止修改操作;遍历Map优先使用entrySet或forEach;SimpleDateFormat非线程安全,建议用ThreadLocal或Java8新时间API;并发修改记录需加锁,推荐乐观锁配合version机制。
