V2EX › h0099 的所有回复 › 第 6 页 / 共 9 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9

❮

❯

2023-01-13 20:03:08 +08:00

回复了 shendaowu 创建的主题 › MySQL › mysql 或者 mariadb 能不能限制某条语句的资源消耗？

https://i.imgur.com/kNIQHtg.png
OPTIMIZE 个 TABLE 先
https://i.imgur.com/Q6E5tBI.png

https://i.imgur.com/r2g8FPc.png
所以阁下想优化`SELECT * FROM tag_content_rel WHERE content_id = 50000`？还是什么？

2023-01-13 19:55:29 +08:00

回复了 shendaowu 创建的主题 › MySQL › mysql 或者 mariadb 能不能限制某条语句的资源消耗？

```
tbm> CALL add_tag(1000)
[2023-01-13 19:51:43] 100 rows affected in 842 ms
tbm> CALL add_content(1000)
[2023-01-13 19:51:44] 100 rows affected in 875 ms
tbm> CALL add_tag_content_rel(100000, 100000, 100000)
[2023-01-13 19:54:15] 100 rows affected in 2 m 30 s 141 ms
tbm> USE tag_test
[2023-01-13 19:54:17] completed in 356 ms
tag_test> SELECT *
FROM tag_content_rel
WHERE content_id = 50000
[2023-01-13 19:54:25] 85 rows retrieved starting from 1 in 6 s 972 ms (execution: 6 s 700 ms, fetching: 272 ms)
tag_test> USE tag_test
[2023-01-13 19:54:26] completed in 572 ms
tag_test> SELECT content_id, COUNT(*)
FROM tag_content_rel
WHERE tag_id IN (730,2621,2805,3200,3340,3590,3969,4039,4799,5249,8859,11894,12628,12646,16959,17024,17142,18032,18861,19316,20839,21179,22346,22507,22522,22639,23562,23822,25172,25786,25821,26606,29899,29917,30586,30901,31216,31413,32562,32567,34740,36586,36954,38109,39202,40519,40756,40816,41464,42942,43069,43286,43344,44787,44950,45549,45652,46313,47111,50549,51942,52738,52959,52961,54034,55526,59162,59767,59945,60361,60816,61307,61730,62269,62503,62589,63960,64580,64634,64794,65209,66332,68222,69396,69905,70629,70939,71277,71804,72580,72896,73651,74301,74525,74706,75153,76169,76500,78042,78148,79109,81463,82140,84217,85212,85327,85584,86392,86908,88188,88475,89175,89190,91156,93202,94124,95294,95345,96013,98135,99679)
GROUP BY content_id
ORDER BY COUNT(*) DESC
[2023-01-13 19:54:28] 500 rows retrieved starting from 1 in 555 ms (execution: 402 ms, fetching: 153 ms)
```

2023-01-13 19:22:36 +08:00

回复了 shendaowu 创建的主题 › MySQL › mysql 或者 mariadb 能不能限制某条语句的资源消耗？

> 让你回复了这么多很不好意思。你回这么多图的是什么？这些明显属于个人咨询了，你回的这些东西好像很难帮到除了我以外的人吧？

那阁下来 v2 问您的特定于您的表结构场景的问题又什么什么目的？

> 之前问朋友朋友说如果达到千万级别就不用我优化了

经典提前优化与钞能力

2023-01-13 15:59:54 +08:00

回复了 GuardX 创建的主题 › 程序员 › 关于 Java gc 的问题

https://stackoverflow.com/questions/36709222/why-garbage-collector-stops-all-the-threads-before-reclaiming-the-memory
https://stackoverflow.com/questions/30690620/how-gc-suspends-blocks-the-application-threads

2023-01-13 15:57:56 +08:00

回复了 wuwukai007 创建的主题 › Python › 今天刚发现 Python 简单的递归用 reduce 实现感觉蛮简洁的

恭喜阁下已经入门了 FP （函数式编程）思维

2023-01-13 15:55:16 +08:00

回复了 godall 创建的主题 › PHP › 说一点 phpmyadmin 安装的坑

可能原因： https://github.com/phpmyadmin/phpmyadmin/issues/17527

我之前也被 pma 白屏折磨过

2023-01-13 15:52:15 +08:00

回复了 godall 创建的主题 › PHP › 说一点 phpmyadmin 安装的坑

不要用 phpmyadmin 的"最新"（ 5 月 12 ）构建 5.2.0 版本
而是下追随 latest git commit 的 5.3+snapshot 构建

pma 的 5.x 版本是大的重构，他们试图进行把前端慢慢 spa 化
所以 5.x bug 特别多

2023-01-13 15:48:38 +08:00

回复了 huangya 创建的主题 › 程序员 › 怎么跟踪类似这样的一个网站的二级目录和三级目录

但这不适用于您遇到的
> 似乎一级目录 vger.kernel.org/没有链接或者列出二级目录
> 但维护网站的人最好能提供链接吧？这个网站有好多有用的 pdf 和 ppt

wget -r 不过就是像爬虫那样去跟踪下载到的 html 中所有 url 并递归下载下来

win 上也有个类似 wget -r 的商业软件 https://metaproducts.com/products/offline-explorer
我以前用过破解版 archive 过几个小网站

2023-01-13 15:46:44 +08:00

回复了 huangya 创建的主题 › 程序员 › 怎么跟踪类似这样的一个网站的二级目录和三级目录

wget --recursive
https://www.gnu.org/software/wget/manual/html_node/Recursive-Retrieval-Options.html
https://stackoverflow.com/questions/273743/using-wget-to-recursively-fetch-a-directory-with-arbitrary-files-in-it

2023-01-13 15:41:20 +08:00

回复了 Jamy 创建的主题 › Linux › 如何给 sh -c "echo $1,$2" 传递参数。

所以拥有 aes 解密密钥的 shc 程序并不位于`不信任的环境`之中？
shc 只是负责解密变回合法 bash 字符串后把 bash 字符串传给`不信任的环境`来 eval ？

2023-01-12 23:48:24 +08:00

回复了 horou 创建的主题 › 程序员 › 关于 sql 拼接和 sql 注入的问题

您需要控制{}的插值也就是那个 id 变量的取值区间，如果他来自程序内部那还比较容易保证其合法（比如您 1 楼所说的`query.order 是请求接口传过来的值，是一个枚举类型`），如果是用户输入您必须得假定恶意对它做合适的过滤甚至白名单

2023-01-12 23:12:16 +08:00

回复了 horou 创建的主题 › 程序员 › 关于 sql 拼接和 sql 注入的问题

#15 @h0099 所说的 `给 query builder 传入 raw 部分如 selectRaw(用户输入)`实际上就是
#21 的`同时混用字符串拼接和 prepared statement 的传参插值`
您可能会觉得我从来都没有做过在 prepared statement 里又直接拼接了用户输入的罪恶行径
但实际上 orm 的 query builder 通过抽象隔离使得您在使用其提供的 selectRaw()等 api 时也忘记了这实际上就是危险的拼接

2023-01-12 22:08:06 +08:00

回复了 t298 创建的主题 › Java › 企业里的前后端是怎么部署的呢？

@GreatAuk 他的意思是前后端分离做好后前端就只是一大堆静态资源 htmljscss ，所以这些静态文件随便托管在哪儿都可以只要用户能在访问域名时下载到这些文件
那么前端静态资源的并发就是看您托管的地方的并发了，而这基本是不用担心的
因为 oss 和 cdn 服务端所做的不过是去缓存（当然可能 cache miss ）里读取一些文件响应而已，也就是 nginx 等 webserver 最擅长的事

2023-01-12 21:55:06 +08:00

回复了 luos543 创建的主题 › Windows › Windows 文件资源管理器有打开窗口个数限制吗？

win8.1 50~60 个
https://i.imgur.com/j0kt669.png
https://i.imgur.com/pQyBsta.png

回顾上个月的新闻：微软希望通过将功能与 explorer.exe 解耦来提高 Windows 11 的运行速度
https://www.windowslatest.com/2022/12/22/microsoft-wants-to-make-windows-11-faster-by-decoupling-features-from-explorer-exe/

2023-01-12 21:28:08 +08:00

回复了 horou 创建的主题 › 程序员 › 关于 sql 拼接和 sql 注入的问题

#19 @IvanLi127 phpdelusions.net/pdo/sql_injection_example 所举的例子就是典型的同时混用字符串拼接和 prepared statement 的传参插值以实现将用户输入用于无法作为 prepared statement 的传参插值的地方（原文例子中是用于 UPDATE ... SET 子句，现实中更常见的就是 SELECT ...子句的字段名，或是楼上 ORDER BY ...子句的字段名），所以字符串拼接是这的短板

#20 @IvanLi127 byte0x39=字符串 9 是 ASCII 里的，不论什么 EASCII 编码都不可能修改掉这个 0x39 对应 9 的关系（顶多像 SHIFT-JIS 那样把\改成￥），那么您所说的转了几手难道是传输给使用远古的 BCDIC 编码的环境里了吗？还是阁下直接在前端验证用户输入白名单，所以无法保证后端收到的就是 0x39 byte ？

2023-01-12 21:13:14 +08:00

回复了 horou 创建的主题 › 程序员 › 关于 sql 拼接和 sql 注入的问题

@sorcerer 单纯的没有，但只要遇到有意无意的把用户输入直接拼接进字符串那就需要对用户输入做严格的过滤（如正则）甚至白名单（如只允许已知字段名）

2023-01-12 21:10:23 +08:00

回复了 acctv2 创建的主题 › 程序员 › 你最喜欢的字体有哪些？

https://github.com/tonsky/FiraCode

2023-01-12 20:29:24 +08:00

回复了 t298 创建的主题 › Java › 企业里的前后端是怎么部署的呢？

@opengps nginx 当然可以设置非 localhost 的其他局域网甚至公网 ip upstream server
http://nginx.org/en/docs/http/ngx_http_upstream_module.html
http://nginx.org/en/docs/http/ngx_http_proxy_module.html
因此 nginx 也可以跑在一个独立机器系统上，而前后端跟 nginx 可以有也可以没有物理上的关系（只要能通过网络访问就行）
那些 load balancer 不就是这种模式

2023-01-12 20:24:50 +08:00

回复了 jaredyam 创建的主题 › Java › 这段随机数生成代码为什么这么写？

/dev/random 无疑是密码学的更好选择。即使 /dev/urandom 相对安全，也没有理由选择后者。

事实： /dev/random 有一个非常讨厌的问题：它会阻塞。

但这很好！/dev/random 给出的随机性与其池中的熵一样多。/dev/urandom 会给你不安全的随机数，即使它早已耗尽熵。

事实：不。即使不考虑可用性和随后的用户操纵等问题，熵“耗尽”的问题也是一个稻草人。大约 256 位的熵足以在很长很长一段时间内获得计算上安全的数字。

2023-01-12 20:23:16 +08:00

回复了 jaredyam 创建的主题 › Java › 这段随机数生成代码为什么这么写？

#23 @wangyu17455 https://www.2uo.de/myths-about-urandom/ 早已指出（机翻）：

/dev/urandom 是一个伪随机数生成器，一个 PRNG ，而 /dev/random 是一个“真”随机数生成器。

事实： /dev/urandom 和 /dev/random 都使用完全相同的 CSPRNG （一种加密安全的伪随机数生成器）。它们仅在极少数方面有所不同，与“真正的”随机性无关。

/dev/random 无疑是密码学的更好选择。即使 /dev/urandom 相对安全，也没有理由选择后者。

---
因此，要明确一件事：/dev/random 和 /dev/urandom 都由同一个 CSPRNG 提供。根据一些估计，只有当它们各自的池耗尽熵时的行为不同：/dev/random 阻塞，而 /dev/urandom 没有。

从 Linux 4.8 开始
在 Linux 4.8 中，/dev/urandom 和 /dev/random 之间的等效性被放弃了。现在 /dev/urandom 输出不是来自熵池，而是直接来自 CSPRNG 。

1 2 3 4 5 6 7 8 9

❮

❯