java审计入门(一)
写在前面
这几天一直陆陆续续在学java的代码审计,但是总感觉学的不是很顺畅,所以去《代码审计》星球看了一个入门的panda师傅写的java审计,一开始的基础知识就跟着打一遍吧
基础知识
1.包的命名规范
(1)indi:
个体项目:指个人发起,但非自己独立完成的项目,可公开或私有项目,copyright主要属于发起者 |
(2)pers:
个人项目:指个人发起,独自完成,可分享的项目,copyright主要属于个人。 |
(3)priv:
私有项目:指个人发起,独立完成,非公开的私人使用的项目,copyright属于个人 |
(4)onem:
与indi 相同,推荐使用indi |
(5)team:
团队项目,指由团队发起,并由该团队开发的项目,copyright属于该团队所有 |
(6)com:
公司项目,copyright由项目发起的公司所有 |
持久层:dao、persist、mapper
实体类:entity、model、bean、javabean、pojo
业务逻辑:service、biz
控制器:controller、servlet、action、web
过滤器:filter
异常:exception
监听器:listener
在不同的框架下一班包的命名规则不同,但大概如上,不同功能的java文件放在不同的包中,根据java文件的功能统一安放及命名。
2.servlet
什么是servlet?
java Servlet是运行在web服务器或应用服务器上的程序,它是作为来自web浏览器或其他HTTP客户端的请求和HTTP服务器上的数据库或应用程序之间的中间层。
Servlet执行以下任务:
读取客户端(浏览器)发送的显示的数据,包括网页上的HTML表单,或者也可以是来自applet或自定义的HTTP客户端程序的表单。
读取客户端(浏览器)发送的隐式的HTTP请求数据。这包括cookies、媒体类型和浏览器能理解的压缩格式等
处理数据并生成结果,这个过程可能需要访问数据库,执行RMI或CORBA调用,调用web服务,或者直接计算得出对应的响应。
发送显示的数据(即文档)到客户端(浏览器)。该文档的格式可以是多种多样的,包括文本文件(html或xml)、二进制文件(GIF图像)、excel等。
发送隐式的http响应到客户端(浏览器)。这包括告诉浏览器或其他客户端被返回的文档类型(如html),设置cookies和缓存参数,以及其他类似的任务。
Servlet 生命周期
Servlet 生命周期可被定义为从创建直到毁灭的整个过程。以下是 Servlet 遵循的过程:
- Servlet 通过调用
init ()方法进行初始化。 - Servlet 调用
service()方法来处理客户端的请求。 - Servlet 通过调用
destroy()方法终止(结束)。
最后,Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。
这里主要介绍一下service() 方法。
service() 方法是执行实际任务的主要方法,Servlet 容器(即 Web 服务器)调用 service() 方法来处理来自客户端(浏览器)的请求,并把格式化的响应写回给客户端。每次服务器接收到一个 Servlet 请求时,服务器会产生一个新的线程并调用服务。service() 方法检查 HTTP 请求类型(GET、POST、PUT、DELETE 等),并在适当的时候调用 doGet、doPost、doPut,doDelete 等方法。
public void service(ServletRequest request, ServletResponse response) |
以上代码,即为一个service()方法的特征
java审计入门(一)