第一篇：本科畢業(yè)參加工作總結(jié)(java開發(fā))

從7月1號(hào)入職以后的工作回顧如下：

主要分成兩個(gè)階段：

完全的學(xué)習(xí)階段：

時(shí)間：2011.07.01~2011.09.22

學(xué)習(xí)內(nèi)容與收獲

1.webx

2.spring

3.ibatis sqlmap

4.spring MVC

5.數(shù)據(jù)挖掘

6.weka

7.參加逐浪堂，百計(jì)

8.hsf,notify,tfs,tair

學(xué)習(xí)1-4 是進(jìn)入公司后師兄給的最基本的任務(wù)，在經(jīng)過大約一個(gè)月的學(xué)習(xí)之后可以完成前臺(tái)應(yīng)用的開發(fā)了。對(duì)web應(yīng)用的設(shè)計(jì)模式基本掌握。

數(shù)據(jù)挖掘這一塊主要學(xué)習(xí)了它的基本概念，預(yù)處理以及詳細(xì)學(xué)習(xí)了分類算法，為后來接手rulerun模型日常打下基礎(chǔ)。

參加逐浪堂主要是對(duì)公司文化有了進(jìn)一步的了解以及培養(yǎng)了團(tuán)隊(duì)意識(shí)。

參加百計(jì)讓我對(duì)公司的整體結(jié)構(gòu)以及淘寶的所有技術(shù)有了最基本的了解。

參加完百計(jì)后趁熱打鐵，進(jìn)一步學(xué)習(xí)了公司的幾大基礎(chǔ)設(shè)施 hsf,notify,tfs,tair。主要是對(duì)其原理有進(jìn)一步的了解，以及如何使用。

項(xiàng)目和日常階段

時(shí)間：2011.09.22-2011.11.25

百計(jì)回來后就開始真正干活了：

1.namelist剝離 kfc

花了大概一周多的時(shí)間，給namelist搭建了一個(gè)webx3 的框架，把相關(guān)的頁(yè)面和相關(guān)的系統(tǒng)遷移到了新的框架中。

收獲：對(duì)maven,svn,日志系統(tǒng)有了進(jìn)一步了解。對(duì)工程的搭建能力有了一定的提高。不足：沒有將遷移完全進(jìn)行完成。其中有一些定時(shí)任務(wù)的程序沒有遷過來，這是后面在看kfc代碼的時(shí)候發(fā)現(xiàn)的。

2.kfc3.0

kfc3.0算是接觸的第一個(gè)真正的項(xiàng)目，從需求分析，uc編寫，編碼都一應(yīng)俱全。我的主

要任務(wù)就是前臺(tái)應(yīng)用：

kfc3.0 相對(duì)2.0 添加了一個(gè)標(biāo)簽系統(tǒng)，去除掉來源和類型管理系統(tǒng)。而我的工作主要包括：

1.uc編寫

2.標(biāo)簽查詢以及其關(guān)鍵詞查詢中涉及到標(biāo)簽的查詢

3.標(biāo)簽自動(dòng)完成控件

4.通用詞庫(kù)管理

5.關(guān)鍵詞新增，編輯和刪選器管理添加對(duì)標(biāo)簽的處理，去除來源和類型。

6.關(guān)鍵詞統(tǒng)計(jì)相關(guān)頁(yè)面的開發(fā)

收獲：對(duì)web開發(fā)有了更進(jìn)一步的學(xué)習(xí)，對(duì)項(xiàng)目的開發(fā)有了更進(jìn)一步的了解。

不足：由于開發(fā)日程緊張，導(dǎo)致一個(gè)新feature出來后沒怎么檢查就提交測(cè)試了，結(jié)果出現(xiàn)了很多低級(jí)bug。

3.日常：

穿插在kfc3.0開發(fā)期間的日常需求：

1.spam bayes 炒信模型

我的工作：將算法過程轉(zhuǎn)換成java代碼寫入到ctu二方包中，對(duì)算法本身的測(cè)試，積極參與到算法結(jié)果閾值的評(píng)估中。并部署到rulerun系統(tǒng)中。跟進(jìn)模型的運(yùn)行效果，并對(duì)閾值進(jìn)行調(diào)整，現(xiàn)在模型已經(jīng)能很好的服務(wù)于淘幫派的炒信類帖子的抓取了。

收獲：對(duì)rulerun 業(yè)務(wù)有了更進(jìn)一步的掌握，對(duì)代碼的質(zhì)量有了更多的認(rèn)識(shí)（健壯性和效率）;不足：當(dāng)時(shí)有個(gè)操作失誤，以為svn提交了就可以發(fā)布了，但實(shí)際情況是作為二方包需要先deploy到maven庫(kù)中才可以，結(jié)果導(dǎo)致rulerun需要重發(fā)。

2.svm 模型

svm 模型是一個(gè)非常強(qiáng)大的模型，可以根據(jù)模型文件的不同來進(jìn)行不同類型的分類與預(yù)測(cè)。我的工作：將svm算法引入到rulerun系統(tǒng)，在bi那邊建議能隨時(shí)添加新模型，于是實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的模型文件加載方法能夠在不重啟rulerun的情況下引入新的模型。

目前該模型正在配置實(shí)施中...

第二篇：JAVA開發(fā)個(gè)人簡(jiǎn)歷

個(gè) 人 簡(jiǎn) 歷

個(gè)人信息

姓名：xxxxxxx性別：x

電話：187-xxx7-xxxx年齡：22

郵箱： lxxxxxxx@xxx.com專業(yè)：軟件技術(shù)應(yīng)聘職位

Java軟件開發(fā)工程師

專業(yè)技能

熟練掌握CoreJava編程，具有扎實(shí)的編程功底和良好的編碼習(xí)慣

熟練掌握ssh(Struts2+hibernate+Spring)等輕量級(jí)框架

熟悉MVC開發(fā)模式

熟練使用Eclipse/MyEclipse工具進(jìn)行Java軟件開發(fā)

熟練Unix/Linux環(huán)境下Java的應(yīng)用軟件開發(fā)

熟練掌握MySQL、Oracle等數(shù)據(jù)庫(kù)操作，能編寫常用SQL語(yǔ)句

熟悉軟件開發(fā)的主要流程，可以根據(jù)指定要求快速完成設(shè)計(jì)、編碼等工作了解xml、HTML、JavaScript、Ajax技術(shù)

項(xiàng)目經(jīng)驗(yàn)

一、通用電子商務(wù)平臺(tái)（當(dāng)當(dāng)網(wǎng)購(gòu)物系統(tǒng)）

開發(fā)環(huán)境：Linux

開發(fā)工具：MyEclipse8.6，Tomcat，MySQL

技術(shù)實(shí)現(xiàn)：Struts2+Hibernate+Spring+JavaScript+JSP+AJAX

項(xiàng)目描述：此系統(tǒng)為網(wǎng)上購(gòu)物系統(tǒng)，用戶可以用過該系統(tǒng)實(shí)現(xiàn)網(wǎng)上購(gòu)物、注冊(cè)、登錄、瀏覽商

品、訂貨、生成訂單功能。也包括對(duì)普通商品增刪改查功能和購(gòu)物車內(nèi)書的數(shù)量的增刪改功能。

責(zé)任描述：獨(dú)自完成項(xiàng)目的整個(gè)開發(fā)過程

用戶模塊包括登錄與注冊(cè)，主要使用了AJAX對(duì)其輸入的信息進(jìn)行驗(yàn)證，結(jié)合Hibernate存儲(chǔ)和驗(yàn)證用戶登錄等。

商品列表模塊主要是用List集合來展示商品。

購(gòu)物車模塊則是使用Session技術(shù)來保存購(gòu)物車，通過Struts2調(diào)用不通方法來操作購(gòu)物車中的商品集合，實(shí)現(xiàn)對(duì)購(gòu)物車的增刪改查。

訂單模塊主要是用Hibernate對(duì)用戶所買商品的記錄進(jìn)行存儲(chǔ)。

經(jīng)驗(yàn)總結(jié)：這個(gè)項(xiàng)目讓我們把我們所學(xué)習(xí)的三大框架以及JS，Ajax等都聯(lián)系起來。尤其是使用

Hibernate經(jīng)常出現(xiàn)異常，在和組內(nèi)成員討論中逐步解決問題，并且更加完善代碼。

通過這個(gè)項(xiàng)目不僅提高我個(gè)人能力，而且還促進(jìn)了與他人合作的能力。

二、教學(xué)管理系統(tǒng)

開發(fā)環(huán)境：Linux

開發(fā)工具：MyEclipse8.6，Tomcat，MySQL

技術(shù)實(shí)現(xiàn)：Struts2+JavaScript+JDBC+AJAX

項(xiàng)目描述：項(xiàng)目實(shí)現(xiàn)了管理員對(duì)教師信息的增刪改查和對(duì)學(xué)生選課的管理

責(zé)任描述：獨(dú)立完成該項(xiàng)目的設(shè)計(jì)和實(shí)現(xiàn)，主要應(yīng)用MVC模式的設(shè)計(jì)思想對(duì)項(xiàng)目進(jìn)行劃分。

采用JDBC對(duì)教師信息進(jìn)行增刪改查，在學(xué)生選課模塊，使用到了Ajax來對(duì)選課進(jìn)

行檢驗(yàn)。

經(jīng)驗(yàn)總結(jié)： 通過該項(xiàng)目讓我對(duì)MVC設(shè)計(jì)模式有了更深一步的認(rèn)識(shí)。在數(shù)據(jù)的存儲(chǔ)方面尤其是

對(duì)JDBC對(duì)數(shù)據(jù)存儲(chǔ)的亂碼問題。通過與組內(nèi)成員的不懈努力將其克服。極大的鍛

煉了自己團(tuán)隊(duì)合作能力，項(xiàng)目計(jì)劃能力以及寫文檔的能力獨(dú)立解決問題的能力。

三、其它項(xiàng)目：BBS論壇，交友網(wǎng)等

實(shí)習(xí)經(jīng)歷

2011/12 — 2012/05北京xxx科技Java工程師實(shí)習(xí)生

教育背景

2010/09―2012/07開封大學(xué)軟件技術(shù)

所獲證書

C+ E國(guó)際軟件工程師Java培訓(xùn)證書

自我評(píng)價(jià)

專業(yè)技能:雖然在大學(xué)里，我學(xué)習(xí)的是軟件技術(shù)專業(yè)，已經(jīng)具備了一些專業(yè)方面的基礎(chǔ)知識(shí)。但是想在行業(yè)中有更好的發(fā)展就必須學(xué)習(xí)更多與企業(yè)應(yīng)用相關(guān)的知識(shí)，所以我選擇來達(dá)內(nèi)進(jìn)行培訓(xùn)。在學(xué)習(xí)期間，我踏實(shí)勤奮，按時(shí)完成課后練習(xí)及作業(yè)，不斷的積累代碼量，同時(shí)也能幫同學(xué)解決一些力所能及的問題。遇到難題能夠主動(dòng)動(dòng)手查閱資料，解決問題。通過項(xiàng)目實(shí)戰(zhàn)提高我的個(gè)人能力和團(tuán)隊(duì)協(xié)作能力。

綜合能力：性格比較沉穩(wěn)，為人誠(chéng)懇，不怕吃苦，有高度的責(zé)任心和團(tuán)隊(duì)合作精神。對(duì)環(huán)境的適應(yīng)能力強(qiáng)，有較強(qiáng)的團(tuán)隊(duì)意識(shí)和集體榮譽(yù)感，做事情比較認(rèn)真仔細(xì)，對(duì)每一件事情都能認(rèn)真對(duì)待，能很好的自我調(diào)節(jié)。樂于學(xué)習(xí)新的知識(shí)與技術(shù)。

第三篇：java開發(fā)面試題

1、編寫程序

題目：古典問題：有一對(duì)公母豬，從出生后第3個(gè)月起每個(gè)月都生一對(duì)豬，小豬長(zhǎng)到第三個(gè)月后每個(gè)月又生一對(duì)豬，假如豬都不死，問每個(gè)月的豬總數(shù)為多少？

答案:

public class lianxi01 {

public static void main(String[] args){

System.out.println(“第1個(gè)月的兔子對(duì)數(shù): 1”);

System.out.println(“第2個(gè)月的兔子對(duì)數(shù):1”);

int f1 = 1, f2 = 1, f, M=24;

for(int i=3;i<=M;i++){

f = f2;

f2 = f1 + f2;

f1 = f;

System.out.println(“第” + i +“個(gè)月的兔子對(duì)數(shù): ”+f2);

}

}

}

2、是非題

2.1 Java程序中的起始類名稱必須與存放該類的文件名相同。（）

答案：正確

2.2 原生類中的數(shù)據(jù)類型均可任意轉(zhuǎn)換。（）

答案：錯(cuò)誤

3、問答題

3.1 try {}里有一個(gè)return語(yǔ)句，那么緊跟在這個(gè)try后的finally {}里的code會(huì)不會(huì)被執(zhí)行，什么時(shí)候被執(zhí)行，在return前還是后?

答案：

會(huì)執(zhí)行，在return前執(zhí)行。

3.2 sleep()和 wait()有什么區(qū)別:

答案：

sleep是線程類（Thread）的方法，導(dǎo)致此線程暫停執(zhí)行指定時(shí)間，給執(zhí)行機(jī)會(huì)給其他線程，但是監(jiān)控狀態(tài)依然保持，到時(shí)后會(huì)自動(dòng)恢復(fù)。調(diào)用sleep不會(huì) 釋放對(duì)象鎖。wait是Object類的方法，對(duì)此對(duì)象調(diào)用wait方法導(dǎo)致本線程放棄對(duì)象鎖，進(jìn)入等待此對(duì)象的等待鎖定池，只有針對(duì)此對(duì)象發(fā)出notify方法（或notifyAll）后本線程才進(jìn)入對(duì)象鎖定池準(zhǔn)備獲得對(duì)象鎖進(jìn)入運(yùn)行狀態(tài)。

4、數(shù)據(jù)庫(kù)題

聚集函數(shù)的應(yīng)用

編寫一條sql語(yǔ)句，希望從藝術(shù)家表artist_tab中，看到只有一個(gè)專長(zhǎng)specialty的是哪些專長(zhǎng)

答案：seelctspecialty from artist_tab group by specialty having count(*)=1’;

第四篇：Java安全開發(fā)規(guī)范

Java安全開發(fā)規(guī)范 第1章

前言

為提高應(yīng)用安全水平，特制定本規(guī)范對(duì)代碼編制進(jìn)行規(guī)范。規(guī)范中的安全要求按照嚴(yán)格程度分為三級(jí)： > Policy 必須遵循的策略，實(shí)現(xiàn)方法可以自定義，但不能外翻策略的規(guī)定。> Discipline 必須遵守的紀(jì)律，必須按照規(guī)定中的描述實(shí)施，絕對(duì)不能違反。> Guideline 建議性的指南和規(guī)范，將逐步要求遵循實(shí)施。第2章 Java安全性開發(fā)規(guī)范 2.1 跨站腳本XSS * 風(fēng)險(xiǎn)及危害性：

跨站腳本XSS指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時(shí)通訊軟件、甚至在閱讀電子郵件時(shí)，通常會(huì)點(diǎn)擊其中的鏈接。攻擊者通過在鏈接中插入惡意代 碼，就能夠盜取用戶信息。攻擊者通常會(huì)用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè) 包含惡意代碼的頁(yè)面，而這個(gè)頁(yè)面看起來就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁(yè)面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和 javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時(shí)，惡意腳本就會(huì)執(zhí)行，盜取用戶乙的session信 息。

如何導(dǎo)致XSS攻擊，一般來說來自http的post，或者get方式取得參數(shù)值很可能為惡意代碼，如果開發(fā)者直接用這些參數(shù)組合成http鏈接，用戶點(diǎn)擊該連接，就會(huì)造成XSS攻擊風(fēng)險(xiǎn)。* 應(yīng)對(duì)措施

開發(fā)者要保證代碼的安全性，使其免受XSS攻擊，可采取以下措施：

1． 過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼。

2． 限制用戶提交數(shù)據(jù)的長(zhǎng)度 * 非安全代碼示例

<%

String mofWindowId = request.getParameter(“mofWindowId”);

%>

name=“importXml” action=“mofXml.cmd?method=importMofXml&primaryKey=<%=mofWindowId%>” method=“post”> * 安全代碼示例

<%

String mofWindowId=XSSCheck.getParameter(request,“mofWindowId”);

%>

name=“importXml” action=“mofXml.cmd?method=importMofXml&primaryKey=<%=mofWindowId%>” method=“post”>

注：XSSCheck為公用工具類，用于XSS檢查，其getParameter實(shí)現(xiàn)邏輯如下：

1、通過參數(shù)名稱，從請(qǐng)求中取得參數(shù)值。

2、將&,<,>,',“轉(zhuǎn)義: &-> &

<-> ⁢

>-> >

”-> “

'-> ′

3、返回安全的字符串。

2.2 違反信任邊界規(guī)則（Trust Boundary Violation）

* 風(fēng)險(xiǎn)及危害

一個(gè)受信任的邊界可以被認(rèn)為是由系統(tǒng)劃出的邊境，例如session,attribute，aplication,數(shù)據(jù)庫(kù)，文件等在服務(wù)端存儲(chǔ)邊界都認(rèn)為是受信任的。反之來來自http的post，或者get方式取得參數(shù)值是不受信任的。凡是將非受信任邊界的參數(shù)轉(zhuǎn)入到受信任的邊界內(nèi)，需要對(duì)參數(shù)值進(jìn)行檢查，否則造成信任邊界違例，當(dāng)開發(fā)者直接操作受信邊界內(nèi)部的參數(shù)時(shí)會(huì)認(rèn)為該參數(shù)是安全的，而造成安全隱患，例如腳本注入，XSS攻擊等。* 應(yīng)對(duì)措施

開發(fā)者要保證代碼的安全性，當(dāng)參數(shù)信任邊界切換的時(shí)候，對(duì)參數(shù)值進(jìn)行檢查，檢查其內(nèi)容里是否用非法腳本信息：

1． 過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼。

2． 限制用戶提交數(shù)據(jù)的長(zhǎng)度 * 非安全代碼示例

String dsn = request.getParameter(”DSN“);

String sql = request.getParameter(”SQL“);

if(sql == null){

sql = ”“;

}

dsn =(String)session.getAttribute(”SqlHelper.DSN“);

} else {

session.setAttribute(”SqlHelper.DSN“, dsn);

}

* 安全代碼示例

String dsn = XSSCheck.getParameter(request,”DSN“);

String sql = request.getParameter(”SQL“);

if(sql == null){

sql = ”“;

}

dsn =(String)session.getAttribute(”SqlHelper.DSN“);

} else {

session.setAttribute(”SqlHelper.DSN“, dsn);

}

2.3 不安全的反射（Unsafe Reflection）

* 風(fēng)險(xiǎn)及危害

攻擊者能夠建立一個(gè)不可預(yù)測(cè)的、貫穿應(yīng)用程序的控制流程，使得他們可以潛在地避開安全檢測(cè)。攻擊者能夠建立一個(gè)在開發(fā)者意料之外的、不可預(yù)測(cè)的控制流程，貫穿應(yīng)用程序始終。這種形式的攻擊能夠使得攻擊者避開身份鑒定，或者訪問控制檢測(cè)，或者使得應(yīng)用程序以一種意料之外的方式運(yùn)行。如果攻擊者能夠?qū)⑽募蟼鞯綉?yīng)用程序的classpath或者添加一個(gè)classpath的新入口，那么這將導(dǎo)致應(yīng)用程序陷入完全的困境。無論是上面哪種情況，攻擊者都能使用反射將新的、多數(shù)情況下惡意的行為引入應(yīng)用程序。* 應(yīng)對(duì)措施

開發(fā)者可以定制一份白名單，通過關(guān)鍵字關(guān)聯(lián)需要實(shí)例化的類，http請(qǐng)求中傳遞是不是實(shí)際的類名，而是關(guān)鍵字，開發(fā)者得到關(guān)鍵字后在白名單中尋找需要的信息，進(jìn)行實(shí)例化。* 非安全代碼示例

String className = request.getParameter(”classname“);

if((className!= null)&&((className = className.trim()).length()!= 0)){

// Attempt to load class and get its location.try {

ProtectionDomain pd = Class.forName(className).getProtectionDomain();

if(pd!= null){

CodeSource cs = pd.getCodeSource();* 安全代碼示例

String classNameKey = request.getParameter(”classname“);

String className=WhiteList.get(classNameKey);

if((className!= null)&&((className = className.trim()).length()!= 0)){

// Attempt to load class and get its location.try {

ProtectionDomain pd = Class.forName(className).getProtectionDomain();

if(pd!= null){

CodeSource cs = pd.getCodeSource();

注1：WhiteList.get其具體實(shí)現(xiàn)如下：

1、從描述白名單的文件中，讀出白名單列表；

2、根據(jù)傳入的關(guān)鍵值尋找該白名單的真實(shí)值；

3、返回該值，如果沒有找到，拋出異常。2.4 SQL 注入（SQL Injection）

* 風(fēng)險(xiǎn)及危害：

SQL注入是一種常見攻擊方式，由于開發(fā)者采用sql拼湊的方式，用來自網(wǎng)絡(luò)中不安全的參數(shù)形成sql語(yǔ)句訪問數(shù)據(jù)庫(kù)，攻擊者常常采用該漏洞組合成非法的sql語(yǔ)句，使得信息泄露，訪問到本來沒有權(quán)限查看的內(nèi)容或者直接破壞數(shù)據(jù)庫(kù)信息等。發(fā)生SQL Injection有以下幾種方式：

一、進(jìn)入程序的數(shù)據(jù)來自不可信賴的資源。

二、數(shù)據(jù)用于動(dòng)態(tài)構(gòu)造一個(gè)SQL查詢。* 應(yīng)對(duì)措施：

一、開發(fā)者可以采用帶參方式訪問sql語(yǔ)句訪問數(shù)據(jù)庫(kù)，在java中即采用PreparedStatement的方式訪問數(shù)據(jù)庫(kù)。

二、如果開發(fā)者一定要使用sql拼湊的方式訪問數(shù)據(jù)，對(duì)字符串要檢查并過濾單引號(hào)',對(duì)于可能為整形或者浮點(diǎn)類型參數(shù)，要先轉(zhuǎn)整形，或者浮點(diǎn)，再進(jìn)行拼湊。* 非安全代碼示例

String userid=(String)session.getAttribute(”classname“);

String param1= request.getParameter(”param1“);

StringBuffer strbuf=new StringBuffer();

strbuf.append(”select * from table1 where userid=“);

strbuf.append(userid);

strbuf.append(” and param1='“).append(param1).append(”'“);

String sql=strbuf.toString();

//當(dāng)param1為 test' or 1=1

那么這條語(yǔ)句就為 select * from table1 where userid=$userid and param1='test' or 1=1這樣查詢出來的數(shù)據(jù)就超越了這個(gè)用戶訪問的范圍。* 安全代碼示例

方法一：采用PreparedStatement訪問數(shù)據(jù)庫(kù)。

String userid=(String)session.getAttribute(”classname“);

String param1= request.getParameter(”param1“);

StringBuffer strbuf=new StringBuffer();

String sql= ”select * from table1 where userid=? and param1=?“;方法二：檢查并過濾特殊字符

String userid=(String)session.getAttribute(”classname“);

String param1= request.getParameter(”param1“);

StringBuffer strbuf=new StringBuffer();

strbuf.append(”select * from table1 where userid=“);

strbuf.append(userid);

strbuf.append(” and param1='“)

.append(SqlInjectCheck.checkStringValue(param1)).append(”'“);

String sql=strbuf.toString();

注：SqlInjectCheck.checkStringValue是公用函數(shù)，其實(shí)現(xiàn)如下：

1、將'轉(zhuǎn)化成′

2、返回字符串。

2.5 系統(tǒng)信息泄露（System Information Leakage）* 風(fēng)險(xiǎn)及危害：

JSP中出現(xiàn)HTML注釋（System Information Leakage：HTML Comment in JSP），攻擊者可以通過html的注釋得到用于攻擊的信息。* 應(yīng)對(duì)措施：

應(yīng)該使用JSP注釋代替HTML注釋。(JSP注釋不會(huì)被傳遞給用戶)。* 非安全代碼示例

* 安全代碼示例

<%//此處是取得系統(tǒng)信息的注釋%> 2.6 資源注入(resource injection)* 風(fēng)險(xiǎn)及危害：

允許用戶可以通過輸入來控制資源標(biāo)識(shí)符，會(huì)讓攻擊者有能力訪問或修改被保護(hù)的系統(tǒng)資源。

發(fā)生resource injection有以下兩種方式：

1.攻擊者可以指定已使用的標(biāo)識(shí)符來訪問系統(tǒng)資源。例如，攻擊者可以指定用來連接到網(wǎng)絡(luò)資源的端口號(hào)。

2.攻擊者可以通過指定特定資源來獲取某種能力，而這種能力在一般情況下是不可能獲得的。* 應(yīng)對(duì)措施

開發(fā)者可以定制一份白名單，通過關(guān)鍵字關(guān)聯(lián)需要資源內(nèi)容，http請(qǐng)求中傳遞是不是實(shí)際的資源內(nèi)容，而是關(guān)鍵字，開發(fā)者得到關(guān)鍵字后在白名單中尋找需要的信息，進(jìn)行后續(xù)操作。

* 非安全代碼示例

String dsn = request.getParameter(”DSN“);DataSource ds =(DataSource)ctx.lookup(dsn);* 安全代碼示例

String dsnKey = request.getParameter(”DSN ");String dsn =WhiteList.get(dsnKey);DataSource ds =(DataSource)ctx.lookup(dsn);

第五篇：java開發(fā)工程師個(gè)人簡(jiǎn)歷

個(gè)人介紹

姓

名：

性

別：

戶口所在地：

年

齡：

畢 業(yè) 院校：

專

業(yè)：

學(xué)

歷：

聯(lián) 系 電 話：

郵

箱：

求職意向 Java軟件研發(fā)

英語(yǔ)水平

四級(jí)

專業(yè)技能

? ? 熟練的運(yùn)用java開發(fā)環(huán)境和項(xiàng)目構(gòu)建

熟練掌握java程序設(shè)計(jì)語(yǔ)言，有牢固的J2SE基礎(chǔ)，能夠熟練使用JDBC、Servlet、JSP技術(shù)。熟悉C/S，B/S軟件架構(gòu)模式 ? ? ? ? 熟練應(yīng)用JSP/Servlet/JavaBean的MVC模式開發(fā)項(xiàng)目 會(huì)基本的EJB技術(shù)。熟練使用MyEclipse開發(fā)環(huán)境 熟悉數(shù)據(jù)庫(kù) SQL Server、Oracle，熟練掌握標(biāo)準(zhǔn)SQL語(yǔ)言

掌握關(guān)系數(shù)據(jù)庫(kù)的原理。熟練使用Oracle、SQL Server進(jìn)行軟件系統(tǒng)開發(fā)。熟練使用Tomcat服務(wù)器。? ? 具備一般的英語(yǔ)讀寫能力

初步了解Struts、Hibernate、Spring應(yīng)用

項(xiàng)目經(jīng)驗(yàn)

一、基于.NET的聊天系統(tǒng)

描述 ：采用的是傳統(tǒng)的C/S模式，基于.NET的COM+組件和微軟的自帶的消息隊(duì)列(MSMQ)，可以很方便的存貯和獲取隊(duì)列中的消息，并且采用管道通信，可以不關(guān)心其中的通信原理；該系統(tǒng)的功能比較簡(jiǎn)單，能夠?qū)崿F(xiàn)局域網(wǎng)通信

開發(fā)技術(shù)：ADO.NET + COM+組件 開發(fā)工具：MS Visual Studio 數(shù) 據(jù) 庫(kù)：SQL Server 角 色：組長(zhǎng)（單人開發(fā)）

負(fù)責(zé)模塊：界面、數(shù)據(jù)庫(kù)建立和管理、后臺(tái)的編寫等等 時(shí) 間：一周

二、基于Java的聊天系統(tǒng)

描述：本系統(tǒng)采用的任然是基于傳統(tǒng)的C/S模式開發(fā)，前臺(tái)用的是java.swing包做的界面，后臺(tái)的編程采用了一些工廠模式，接口編程，給程序的擴(kuò)展帶來了很大的方便，數(shù)

據(jù)庫(kù)則是利用的文本文件保存相關(guān)的信息，采用傳統(tǒng)的sql從文本文件中獲取自己要的信息，數(shù)據(jù)庫(kù)能實(shí)現(xiàn)查詢、添加、刪除等功能。通信則是采用最底層的socket套接字編程；實(shí)現(xiàn)的主要功能有：閃屏，截圖，托盤顯示來信消息，多人會(huì)話等 開發(fā)技術(shù)： socket套接字+面向接口編程+工廠模式 開發(fā)工具： MyEclipse8.0 數(shù) 據(jù) 庫(kù)：自己寫的文本數(shù)據(jù)庫(kù) 角 色：組長(zhǎng)（單人開發(fā)）

負(fù)責(zé)模塊：頁(yè)面，數(shù)據(jù)庫(kù)的編寫，以及所有業(yè)務(wù)邏輯的編寫 時(shí) 間：一周

三、連連看小程序

描述： 依然是傳統(tǒng)的C/S模式開發(fā)，該程序有很多細(xì)節(jié)的地方考慮比較周到，例如只在有圖片的地方產(chǎn)生label、圖片遍歷填充算法、圖片連接的算法等，這在一定程度上減少了該程序的內(nèi)存開銷，同樣采用了工廠模式，可以在不改變?cè)闯绦虼a的同時(shí)，增加新的關(guān)卡

開發(fā)技術(shù)：J2SE

開發(fā)工具： NetBeans 角 色：組長(zhǎng)（單人開發(fā)）時(shí) 間：三天

四、庫(kù)存管理系統(tǒng)

描述：本系統(tǒng)采用了b/s模式開發(fā)，其中用到了jsp、servlet、JavaBean、jstl標(biāo)簽庫(kù)、el表達(dá)式等技術(shù)，本人負(fù)責(zé)入庫(kù)單和出庫(kù)單管理模塊，其中包含的功能大致有根據(jù)進(jìn)貨單產(chǎn)生入庫(kù)單，根據(jù)訂貨單產(chǎn)生出庫(kù)單，以及直接導(dǎo)入入庫(kù)單等，采用了mvc框架，和單例模式，工廠模式開發(fā)

開發(fā)技術(shù)：J2EE、servlet、jsp、JavaBean、el表達(dá)式、jndi等等 開發(fā)工具： Myeclipse 角 色：組員 時(shí) 間：一周

自我評(píng)價(jià)

◆

吃苦耐勞，有強(qiáng)烈的敬業(yè)精神和團(tuán)隊(duì)協(xié)作精神，能夠承受一定的壓力，能迅速的適應(yīng)各

環(huán)境，并融合其中同時(shí)對(duì)編程具有濃厚的興趣。

◆

有積極進(jìn)取的工作精神和實(shí)際動(dòng)手能力，對(duì)新知識(shí)、新技術(shù)有著強(qiáng)烈的求知欲與良好的接受能力。