Python_0011的博客

引用计数：给一个变量赋值引用类型，则该对象的引用次数+1，如果这个变量变成了其他值，那么该对象的引用次数-1，垃圾回收器会回收引用次数为0的对象。但是当对象循环引用时，会导致引用次数永远无法归零，造成内存无法释放。标记清除：垃圾收集器先给内存中所有对象加上标记，然后从根节点开始遍历，去掉被引用的对象和运行环境中对象的标记，剩下的被标记的对象就是无法访问的等待回收的对象。当元素的尺寸或者位置发生了变化，就需要重新计算渲染树，这就是回流DOM元素的几何属性()发生变化时会触发回流。

在父元素设置，子元素受弹性盒影响，默认排成一行，如果超出一行，按比例压缩 flex:1;子元素设置，设置子元素如何分配父元素的空间，flex:1,子元素宽度占满整个父元素align-items:center 定义子元素在父容器中的对齐方式，center 垂直居中justify-content:center 设置子元素在父元素中居中，前提是子元素没有把父元素占满，让子元素水平居中。

本文字数1600+ ，阅读时间大约需要 5分钟。：文章发布时间在本期「掘金一周」发布时间的前一周内；且符合各个栏目的内容定位和要求。如发现文章有抄袭、洗稿等违反社区规则的行为，将取消当期及后续上榜资格。

RCE漏洞：攻击者直接向后台服务器远程注入操作系统命令或者代码。主要分为远程代码执⾏和远程命令执行。本章主要说的是命令执行漏洞（remote command execute）。remote code execute（远程代码执⾏）remote command execute （远程命令执⾏）

安全是一门朴素的学问，也是一种平衡的艺术。如同开发者会遇到的挑战一样，有很多问题，不放到一个海量用户的环境下，是难以暴露出来的。由于量变引起质变，所以管理10台服务器，和管理1万台服务器的方法肯定会有所区别；同样的，评估10名工程师的代码安全，和评估1000名工程师的代码安全，方法肯定也要有所不同。安全工程师的核心竞争力不在于他能拥有多少个 0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。互联网公司的最大特色和法宝。

该系列是[张风捷特烈]的 Flame 游戏开发教程。Flutter 作为全平台的原生级渲染框架，兼具全端跨平台和高性能的特点。目前官方对休闲游戏的宣传越来越多，以 Flame 游戏引擎为基础，Flutter 有游戏方向发展的前景。本系列教程旨在让更多的开发者了解 Flutter 游戏开发。第一季：30 篇短文章，快速了解 Flame 基础。[已完结]第二季：从休闲游戏实践，进阶 Flutter&Flame 游戏开发。两季知识是独立存在的，第二季不需要第一季作为基础。本系列教程源码地址在。

你是否对 AI 编程充满好奇，却不知从何入手？你是否想体验高效编程，却苦于没有合适的工具？现在，机会来了！Trae，中国首个 AI 原生 IDE，携手稀土掘金技术社区推出 「与AI结伴，编程不孤单」 活动，让你轻松体验 AI 编程的魅力，完成任务即有机会赢取丰厚奖励！🎁。

优化方向核心措施布局与数据绑定简化布局层级、使用 DiffUtil 局部更新快速滑动处理滑动时暂停图片加载、禁用非必要动画图片加载优化Glide/Coil + 压缩缓存策略复用效率提升共享视图池、预加载 ViewHolder通过布局简化、数据差异更新、滑动预加载、图片加载优化等综合手段，可显著提升 RecyclerView 的性能。布局层级扁平化：减少测量和布局时间。DiffUtil 替代全量刷新：精准更新变化项。滑动状态感知加载：平衡流畅度与用户体验。合理使用缓存。

我们需要对存活的站点进行查看，最严谨的做法是一一查看，找寻其中的漏洞，同时这样也最消磨我们这种小白的耐心，这里直接看Finger扫描输出文件里面的title，看是否带着 “系统”、“平台”、“登录”等字眼，这些站点是最好出漏洞的地方，因为他们往往存在登录框，可测的东西就多了。登录typ123账号，测试内部功能点，都测了一下，没有测出所以然，突然我想起之前看到的文章，抓登录请求返回包，说干就干，果然，有不一样的地方。收集到的子域名还是蛮多的，主要是子域名直接就可以复制到txt文件，方便后续域名探针。

顾名思义，越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说，就是用户A可以通过某种方式查看到用户B的个人信息，或者可以查看管理员C的一些相关信息。

验证码（CAPTCHA）是一种用于区分人类用户和机器人的测试，通常以图像、音频或文字形式呈现给用户，要求用户根据提示进行识别或操作。验证码的目的是防止自动化程序（如恶意机器人）对系统进行恶意攻击或滥用。验证码复用指的是在验证码在生成和被使用后，网站后端没有及时主动销毁或更新该验证码，导致该验证码可以被重复使用。恶意用户可以将重复利用同一验证码，绕过验证码的验证机制，直接访问后续业务。验证码复用漏洞是一种安全漏洞，通常出现在需要验证码验证的系统中。

本人在挖掘漏洞的过程中，遇到的逻辑漏洞还是比较多的，其中就有不少短信轰炸漏洞。今天就以我挖掘到的一些短信轰炸漏洞为例子，主要是分享一些思路，还请大佬们多多包涵。由于实际到真实厂商，对一些敏感信息进行了打码，大家伙看看思路即可。短信轰炸漏洞，顾名思义就是可以无限制地发送短信，原理由于短信业务逻辑设计缺陷，没对短信发送次数做限制，导致可以大量重复发送短信验证码。该漏洞会对其他用户造成骚扰或使厂商的运营商短信费用的增加，造成损失。

随着网民越来越习惯于网上购物，出现了越来越多的电商网站，在线交易平台等。其中肯定要涉及在线支付的流程，而这里面也有很多逻辑。由于这里涉及到金钱，如果设计不当，很有可能造成0元购买商品等很严重的漏洞。

在学习了大量web逻辑漏洞的知识后，想进行实战。练练手。作为小菜鸡的我，这是我第二次进行实战挖洞，可能会存在许多问题。望各位大师傅多多指点。闲话少说，直接开整。

Tab⌘ K⌘ L⌘ I提高编码效率：Cursor 的智能代码补全和实时建议功能显著加快了编码速度，减少了在编写代码时的思考时间。减少 bug 率：通过实时的错误检测和智能重构，Cursor 能够及时捕捉拼写和语法错误，提升代码的质量和可靠性。攻克疑难问题：对于复杂困难的编码问题，Cursor 能够提供一下解决问题灵感，协助快速实现问题，解决疑难杂症。提升学习效果：Cursor 提供的即时反馈和解释功能，有助于理解编程概念和最佳实践，加速学习过程。

.markdown-body pre,.markdown-body pre>code.hljs{color:#333;background:#f8f8f8}.hljs-comment,.hljs-quote{color:#998;font-style:italic}.hljs-keyword,.hljs-selector-tag,.hljs-subst{color:#333;font-weight:700}.hljs-literal,.hljs-number,.hljs-tag .hljs-attr,.hl

今日，中国首个AI原生集成开发环境（AI IDE）Trae 国内版正式上线，配置Doubao-1.5-pro，并支持切换满血版DeepSeek R1、V3模型，让编程速度起飞。作为更贴合中国开发者开发习惯与开发场景的AI IDE，Trae 以动态协作为核心，打造了一种人机协同，人与AI互相增强的全新开发体验，助力开发者高效应对复杂技术挑战，释放创新潜能。

SQL注入（SQL Injection）是当应用程序允许用户输入未经验证的数据直接插入到数据库查询中时，攻击者可以利用这一点插入恶意SQL语句，从而获得数据库的机密信息或执行其他恶意操作。这种方式有效避免了SQL注入的风险，因为数据库引擎将处理它们时，不会将它们作为SQL语句的一部分执行，而是会将它们视作数据。传入的是用户输入的字符串，它会被Mybatis自动转义或处理为查询参数，而不是直接嵌入到SQL中，从而有效避免了恶意SQL注入的发生。，即使是最简单的下拉框，也不能完全信任其传来的值。

URL。

在 AI 时代，阅读代码不必再那么痛苦。善用 Cursor 这样的智能工具，能让我们事半功倍。正如"工欲善其事，必先利其器"，拥抱新技术不仅能帮助我们更快地理解代码，更能提升整体的开发效率。本文限于篇幅，只介绍了 Cursor 的一些基础用法。事实上，随着 AI 技术的快速发展，每天都有新的工具和方法被开发出来。如果你也对 AI 编程感兴趣，欢迎加入我的付费社群深度交流（微信公众号同名）。让我们一起在 AI 浪潮中不断进步，用智能工具让编程更轻松！黑客/网络安全学习路线。

结束了，动手试试看，有什么建议，欢迎留言交流。希望这篇文章不仅能够帮助你掌握AI赋能数据采集的基本原理，还能激发你的灵感，在未来的工作中更好地利用AI技术解决问题。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」

台下训练，准备好上台演练。测试学生对打代码过程的熟练度，操作限时5分钟。以5分钟截止时，代码完成最后抵达节点为最终记录。考核设备:讲台教师机。学生练习:个人电脑。应用场景:高等院校技能考核最终成绩(100分) = 上机操作考核+ 平时成绩 *活跃系数 (最高40分)

代码运行环境：全部基于HarmonyOs NEXTAPI：12什么是属性动画呢？字面之义就是让属性产生动画，产生某些可执行的动作，使其和原有的UI形态发生了根本的变化，当然了，其本身也类似这层意思；属性动画中，我们需要知道，并不是所有的属性都可以执行动画操作，比如一个组件，设置焦点控制，禁用控制，改变的只是动作状态，而本身的UI形态并没有发生变化，所以并不能执行动画，也就不属于动画属性。

在介绍 FRP之前，先来说说内网穿透的概念。内网穿透是一种网络技术，可以让处于局域网（比如你家里的网络）中的设备，通过互联网与外部设备进行通信。简单来说，就是让你家里的电脑、摄像头、服务器等设备，可以通过互联网从外面访问到。FRP是一款强大的内网穿透工具，能够将你的本地服务（例如你电脑上的网站或应用程序）映射到互联网，让你可以轻松地从外网访问这些服务。无论是个人开发者、企业团队，还是爱好者，FRP都能为你提供高效、稳定的解决方案。

反序列化其实就是序列化的逆向过程，如果你看懂了序列化的关键代码，那么看这个过程就不会很难，下面贴出关键代码做出分析这里能够看到会根据反序列对象的具体类型分别做不同的处理，我们当前的对象是 User 对象所以会进入箭头指向的方法。

上面这些方法，就是针对基础RAG在各个环节的“优化大法”。实际开发中，不是所有方法都有效，不同问题有不同的“解药”，针对应用场景选择合适的优化方法组合，才能最大限度发挥RAG的“威力”。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术，作为新手一定要先学习成长路线图。

本文档规定了中间件服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。

这些漏洞几乎都是RCE（绝对高价值），100%有PoC及微步捕获到攻击行为（危害极大），漏洞80%来自微步漏洞奖励计划（绝对是认真的），与市面上已发布漏洞绝大多数都不重复，强烈建议各位师傅提前排查。另外，攻防演练期间，微步同样提供漏洞验真报告，对每一条漏洞进行人工验证与复现，并将所有验真漏洞汇总成报告（下方为2023年攻防演练期间，微步提供的攻防验真报告截图）。大白也帮大家准备了详细的学习成长路线图。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

动态图优先的深度学习框架，以灵活性和研究友好性著称。动态计算图（即时执行）。张量计算、自动求导、分布式训练。与Python深度集成，调试便捷。支持GPU加速和混合精度训练。生产部署需依赖TorchScript/ONNX。训练速度较静态图框架（如TensorFlow）略慢。：⭐️⭐️⭐️⭐️⭐️（适合快速原型开发）。：学术研究、模型实验、小规模训练。。：与Hugging Face、ONNX、TensorBoard集成，社区庞大。：高性能AI推理服务器，支持多框架、多硬件部署。动态批处理、并发模型执行。

Agent 框架代表着人工智能系统设计模式的重大转变。与依赖静态、预定义工作流程的传统 AI 应用程序不同，Agent 框架引入了动态自适应系统，该系统具备自主感知、推理和行动的能力。这些框架可以把复杂任务拆解成多个小子任务，交给专门的 Agent 协作完成，以实现更宏大的目标。借助大型语言模型（LLM），Agent 框架能够管理工作流程、做出决策，还能无缝集成各种工具，这使得它成为动态决策、实时问题解决等高级应用的理想之选。

在当今这个科技飞速发展的时代，“大模型” 这个词频繁地出现在我们的视野中，无论是新闻报道、科技论坛，还是日常的交流讨论，似乎它已经成为了一个家喻户晓的热词。但对于很多人来说，大模型到底是什么，它又为何能引起如此广泛的关注和讨论，仍然是一团迷雾。今天，就让我们一起揭开大模型神秘的面纱，用通俗易懂的语言来深入了解一下这个引领智能新时代的关键技术。一、大模型究竟是什么简单来说，大模型就是一种超级强大的人工智能模型。

然而，当DeepSeek在2025年横空出世后，曾经的喧嚣却戛然而止——那些高调宣称“技术领先”的玩家们，要么沉默不语，要么匆忙转向，仿佛一夜之间被抽走了底气。当技术壁垒被打破，那些依赖“封闭生态”收租的厂商，自然失去了话语权。更致命的是，DeepSeek的极简奖励设计（仅依赖答案正确性和格式规范）与GRPO算法，将算力消耗降低30%以上，同时摆脱了对标注数据的依赖。作为普通人，入局大模型时代需要持续学习和实践，不断提高自己的技能和认知水平，同时也需要有责任感和伦理意识，为人工智能的健康发展贡献力量。

2025年初，中国推出了具有开创性且高性价比的「大型语言模型」（Large Language Model — LLM）DeepSeek-R1，引发了AI的巨大变革。本文回顾了LLM的发展历程，起点是2017年革命性的Transformer架构，该架构通过「自注意力机制」(Self-Attention)彻底重塑了自然语言处理。到2018年，BERT和GPT等模型崭露头角，显著提升了上下文理解和文本生成能力。2020年，拥有1750亿参数的GPT-3展示了卓越的「少样本」和「零样本」学习能力。然而，「幻觉」问题

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。公众号发表的文章如有涉及您的侵权，烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。

****靶场地址：https://portswigger.net/web-security目录一、XML外部实体（XXE）注入1、简述：2、产生3、XXE攻击类型二、利用XXE检索文件1、简述：三、利用XXE进行SSRF攻击1、简述：四、盲XXE漏洞1、简述（查找和利用隐蔽的XXE漏洞）：2、XXE盲注3、使用带外技术4、利用盲XXE将数据渗透到带外5、利用盲态XXE通过错误消息检索数据6、通过改变本地DTD的用途来利用盲XXE五、查找XXE注入的隐藏攻击面1、简述：2、XInclude攻击3

XML External Entity Injection 外部实体注入,该漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载任意外部文件，造成文件读取、命令执行（有点极端）、内网端口扫描、攻击内网网站、发起dos攻击等危害。什么是xml<person></person>第一行是xml文档的说明，在很多时候可以不写，其中<person>是根元素标签，这里注意，xml不像html一样标签都是固定的，这里可以根据需求自己定义(区分大小写)，name是子元素标签，注意标签是成对存在。

可能有些人看了上面一堆名词后不知所云，什么 xxe，xml，什么外部实体，不用急，我们现在就来慢慢升级。这篇文章我从简单的 xml 的基础知识开始整理，以升级的方式从 xxe 的相关基础到花式利用进行介绍，有些地方限于文章篇幅就没有再继续深入，当然了 xxe 相关利用或者技巧肯定不限于我整理的这几个方面，比如说 xxe 还可以结合 jar 协议进行上传文件，不过笔者对这方面不是很熟也就没有去复盘。文章中若有错误的地方，请各位大牛指正。

而 XSS 由于可以执行js代码，这也就使得攻击者可以将它想要的数据发送到自己的服务器上，比如前面 XSS 章中提到的回传 cookie。6. 上面的代码我们主要是利用了 img 标签去请求 web-security-academy.net 上的一个不存在的图片，当它发送这个请求的时候， web-security-academy.net 的 cookie 中的 csrf 键将被设置为 csrf=123456，当请求失败的时候，就会提交我们的 CSRF 代码来修改邮箱，那么我们来看看效果。

我创建了一个 js 代码并将其上传到我的网站，然后使用 mango”> 作为payload该js文件包含什么？req.send();} };</script>我现在可以使用CSRF+XSS漏洞完全控制帐户。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

欢迎参加我们的Java代码审计课程！本课程旨在培养学员深入了解和实践Java应用程序安全性的技能，通过系统学习和实际案例分析，使学员能够识别并纠正潜在的安全漏洞。