OGNL规范

合集下载

arthas ognl 执行方法

arthas ognl 执行方法Arthas是一款开源的Java诊断工具，由阿里巴巴开发。

它可以帮助开发者快速定位Java应用程序的问题，并提供了强大的诊断和调试功能。

其中，OGNL执行方法是Arthas的一项重要功能，能够帮助开发者更快速地定位问题。

一、什么是OGNLOGNL是Object-Graph Navigation Language的缩写，即对象图导航语言。

它是一种基于Java语言的表达式语言，用于在Java 对象图中查询和操作对象。

OGNL提供了一种简洁、灵活的语法，可以方便地访问对象属性、调用对象方法、执行算术运算和逻辑运算等。

OGNL的语法类似于EL表达式，但它更加强大和灵活。

OGNL支持的操作符更加丰富，可以进行更复杂的运算。

同时，OGNL也支持调用静态方法、访问静态属性等操作，使得它更加适合在Java应用程序中使用。

二、Arthas的OGNL执行方法Arthas的OGNL执行方法是一种基于OGNL语法的命令，用于在Java应用程序中执行方法。

它可以帮助开发者在运行时动态地执行Java方法，以快速定位问题。

Arthas的OGNL执行方法支持的语法与OGNL基本一致，可以进行属性访问、方法调用、运算等操作。

Arthas的OGNL执行方法可以在命令行中直接输入，也可以在Arthas的web界面中使用。

在命令行中，可以使用ognl命令来执行OGNL表达式。

例如，我们可以使用以下命令来执行一个简单的OGNL表达式：```bash$ ognl -e '@ng.System@currentTimeMillis()'```这个表达式的含义是调用System类的currentTimeMillis方法，返回当前时间的毫秒数。

执行结果如下：```[INFO] [2022-02-01 17:54:49] [arthas-NettyClientCommandCenter-1] [System.out][ng.Object;@5f6c2c6b```可以看到，执行结果返回了一个Object数组，其中包含了调用方法的返回值。

JAVAWEB面试题（含答案）

1、jsp和servlet的区别、共同点、各自应用的范围？？JSP是Servlet技术的扩展，本质上就是Servlet的简易方式。

JSP编译后是“类servlet”。

Servlet和JSP最主要的不同点在于，Servlet的应用逻辑是在Java文件中，并且完全从表示层中的HTML里分离开来。

而JSP的情况是Java和HTML可以组合成一个扩展名为.jsp的文件。

JSP侧重于视图，Servlet主要用于控制逻辑。

在struts框架中,JSP位于MVC设计模式的视图层,而Servlet位于控制层.2、cookie和session的作用、区别、应用范围，session的工作原理Cookie:主要用在保存客户端，其值在客户端与服务端之间传送，不安全，存储的数据量有限。

Session:保存在服务端，每一个session在服务端有一个sessionID作一个标识。

存储的数据量大，安全性高。

占用服务端的内存资源。

3、jstl是什么？优点有哪些？？JSTL（JSP Standard Tag Library，JSP标准标签库)是一个不断完善的开放源代码的JSP标签库，由四个定制标记库（core、format、xml和sql）和一对通用标记库验证器（ScriptFreeTLV和PermittedTaglibsTLV）组成。

优点有：最大程序地提高了WEB应用在各应用服务器在应用程序服务器之间提供了一致的接口，最大程序地提高了1、在应用程序服务器之间提供了一致的接口，之间的移植。

2、简化了JSP和WEB应用程序的开发。

3、以一种统一的方式减少了JSP中的scriptlet代码数量，可以达到没有任何scriptlet 代码的程序。

在我们公司的项目中是不允许有任何的scriptlet代码出现在JSP中。

4、允许JSP设计工具与WEB应用程序开发的进一步集成。

相信不久就会有支持JSTL的IDE 开发工具出现。

4、j2ee的优越性主要表现在哪些方面？MVC模式a、J2EE基于JAVA技术，与平台无关b、J2EE拥有开放标准，许多大型公司实现了对该规范支持的应用服务器。

阿里巴巴代码规范

阿里巴巴代码规范阿里巴巴代码规范是由阿里巴巴集团内部制定的一套代码编写规范，旨在提高代码的可读性、可维护性和可扩展性。

下面是我为您整理的阿里巴巴代码规范的要点，详细内容请参考阿里巴巴的官方文档。

1. 命名规范：- 类名使用大驼峰命名法，变量名和方法名使用小驼峰命名法。

- 常量名全部大写，多个单词之间用下划线分割。

- 包名全部小写，多个单词之间用点分割。

2. 代码排版：- 使用4个空格缩进。

- 大括号独占一行，并且与前面的代码保持一个空格的间隔。

- 方法之间空一行，逻辑较为紧密的代码块之间可以不空行。

3. 注释规范：- 类、接口、枚举和注解需要写明作者、创建时间、版本和功能描述等信息。

- 方法、变量和逻辑复杂的代码需要添加注释，以说明其作用和用法。

4. 异常处理：- 必须捕获异常，并及时进行处理，避免出现未处理的异常。

- 不允许捕获Exception或Throwable，应该捕获具体的异常类型。

- 在finally块中释放资源或进行清理操作。

5. 并发控制：- 使用并发包中的线程安全类，如ConcurrentHashMap、CopyOnWriteArrayList等。

- 不使用synchronized关键字直接修饰方法，而是使用Lock接口进行加锁和解锁。

6. 日志管理：- 使用日志框架进行日志输出，如log4j、slf4j等。

- 日志输出需要有明确的日志级别。

- 使用占位符可以避免字符串连接操作，提高性能。

7. 代码重构：- 代码需要经常进行重构，保持代码简洁、高效、可复用。

- 删除未使用的变量、方法和类。

- 移动、重命名、提取方法等操作需要谨慎，避免产生不必要的副作用。

8. 引用规范：- 避免重复引用相同的类，可以使用import static来静态导入某个类的静态成员。

- 不要使用通配符导入，尽量明确导入的类。

以上是阿里巴巴代码规范的一些要点，希望可以对您编写高质量的代码有所帮助。

详细规范请参考阿里巴巴的官方文档。

ognl注入原理

ognl注入原理OGNL（Object-Graph Navigation Language）是一种用于Java编程语言的表达式语言，它可以用于访问和操作对象图。

OGNL注入是一种常见的Web应用程序漏洞，它允许攻击者通过构造恶意输入来执行任意代码。

OGNL注入的原理是利用Web应用程序中对用户输入的不正确处理。

当应用程序接收到用户输入并将其用作OGNL表达式的一部分时，如果没有正确地验证和过滤用户输入，攻击者可以构造恶意输入来执行任意代码。

攻击者可以通过在用户输入中插入OGNL表达式来利用OGNL注入漏洞。

这些表达式可以执行任意的Java代码，包括读取、修改或删除应用程序中的数据，甚至执行系统命令。

为了防止OGNL注入漏洞，开发人员应该采取以下措施：1. 输入验证和过滤：开发人员应该对用户输入进行严格的验证和过滤，确保只允许预期的输入。

可以使用正则表达式或白名单来限制输入的内容。

2. 输入转义：开发人员应该对用户输入进行适当的转义，以确保输入不会被解释为OGNL表达式。

可以使用特殊字符转义函数或库来实现。

3. 最小权限原则：应用程序应该以最小权限原则运行，即只给予应用程序所需的最低权限。

这样即使攻击者成功执行了OGNL注入，也只能在应用程序的权限范围内进行操作。

4. 安全配置：开发人员应该对应用程序的安全配置进行审查和优化。

例如，禁用不必要的OGNL功能或限制OGNL表达式的使用范围。

5. 安全更新：开发人员应该及时更新和修补应用程序中使用的框架和库，以确保及时修复已知的OGNL注入漏洞。

总之，OGNL注入是一种常见的Web应用程序漏洞，攻击者可以利用它执行任意代码。

为了防止OGNL注入漏洞，开发人员应该对用户输入进行严格的验证和过滤，进行适当的输入转义，以及采取最小权限原则和安全配置。

及时更新和修补应用程序中使用的框架和库也是非常重要的。

只有这样，我们才能有效地保护Web应用程序免受OGNL注入攻击的威胁。

阿里数据库规范

阿里数据库规范阿里数据库规范是阿里巴巴集团内部制定的一套数据库设计和管理的规范，旨在提高数据库的性能、可伸缩性和可靠性。

以下是阿里数据库规范的主要内容：1. 数据库设计规范：- 表结构规范：规定表名、字段名的命名规范，避免使用保留字和特殊字符，命名应清晰易懂。

- 数据类型规范：选择适合业务的数据类型，减少存储空间和提高查询性能。

- 索引规范：根据查询需求和数据访问模式，合理设计索引以提高查询效率。

- 主键规范：每个表必须有主键，且主键应简单、稳定、唯一。

- 外键规范：明确外键关系，保持数据的完整性。

- 视图规范：视图应尽量避免复杂计算，以提高查询性能。

2. 数据库操作规范：- SQL编写规范：SQL语句应简洁明了，避免使用SELECT *，尽量减少IO次数。

- 事务规范：合理划分事务边界，减少事务锁竞争，尽量缩短事务执行时间。

- 并发控制规范：选择合适的事务隔离级别，避免死锁和性能问题。

- 锁规范：减少锁的数量和持有时间，以提高并发性和数据库性能。

- 存储过程规范：存储过程应尽量简单，避免过多的逻辑和计算。

3. 数据库连接规范：- 连接池规范：使用连接池管理数据库连接，减少连接的创建和销毁开销。

- 连接参数规范：合理配置数据库连接参数，包括连接数、超时时间等。

- 连接关闭规范：及时关闭无用的数据库连接，避免连接泄漏和资源浪费。

4. 数据库备份和恢复规范：- 定期备份规范：按照业务需求制定备份策略，包括全量备份和增量备份。

- 备份校验规范：定期验证备份文件的完整性和可恢复性。

- 灾备规范：建立灾备机制，保证数据的容灾和可用性。

5. 监控和优化规范：- 监控规范：实时监控数据库的性能指标，包括CPU使用率、磁盘使用率、内存使用率等。

- 优化规范：根据实际情况，进行索引优化、查询优化、存储优化等工作。

- SQL审查规范：定期审查和优化慢查询语句，排除性能问题。

总结起来，阿里数据库规范是一套包括数据库设计、操作、连接、备份恢复、监控和优化等方面的规范。

OGNL的概念

首先了解下OGNL的概念：OGNL是Object-Graph Navigation Language的缩写，全称为对象图导航语言，是一种功能强大的表达式语言，它通过简单一致的语法，可以任意存取对象的属性或者调用对象的方法，能够遍历整个对象的结构图，实现对象属性类型的转换等功能。

此外，还得先需弄懂OGNL的一些知识：1.OGNL表达式的计算是围绕OGNL上下文进行的。

OGNL上下文实际上就是一个Map对象，由ognl.OgnlContext类表示。

它里面可以存放很多个JavaBean对象。

它有一个上下文根对象。

上下文中的根对象可以直接使用名来访问或直接使用它的属性名访问它的属性值。

否则要加前缀“#key”。

2.Struts2的标签库都是使用OGNL表达式来访问ActionContext中的对象数据的。

如：<s:propertyvalue="xxx"/>。

3.Struts2将ActionContext设置为OGNL上下文，并将值栈作为OGNL的根对象放置到ActionContext中。

4.值栈(ValueStack) ：可以在值栈中放入、删除、查询对象。

访问值栈中的对象不用“#”。

Struts2总是把当前Action实例放置在栈顶。

所以在OGNL中引用Action中的属性也可以省略“#”。

5.调用ActionContext的put(key,value)放入的数据，需要使用#访问。

OGNL中重要的3个符号：#、%、$:#、%和$符号在OGNL表达式中经常出现，而这三种符号也是开发者不容易掌握和理解的部分，需要时间的积累才渐渐弄清楚……1．#符号#符号的用途一般有三种。

—访问非根对象属性，例如#session.msg表达式，由于Struts 2中值栈被视为根对象，所以访问其他非根对象时，需要加#前缀。

实际上，#相当于ActionContext. getContext()；#session.msg表达式相当于ActionContext.getContext().getSession(). getAttribute("msg") 。

常用的ONGL表达式

常用ONGL表达式1. 基本对象树的访问对象树的访问就是通过使用点号将对象的引用串联起来进行。

例如：name，，2. 对容器变量的访问对容器变量的访问，通过#符号加上表达式进行。

例如：#name，#，#3. 使用操作符号OGNL表达式中能使用的操作符基本跟Java里的操作符一样，除了能使用+, -, *, /, ++, --, ==, !=, = 等操作符之外，还能使用mod, in, not in等。

4. 容器、数组、对象OGNL支持对数组和ArrayList等容器的顺序访问：例如：ers[0]同时，OGNL支持对Map的按键值查找：例如：#session['mySessionPropKey']不仅如此，OGNL还支持容器的构造的表达式：例如：{"green", "red", "blue"}构造一个List，#{"key1" : "value1", "key2" : "value2", "key3" : "value3"}构造一个Map你也可以通过任意类对象的构造函数进行对象新建：例如：new .URL("http://localhost/")5. 对静态方法或变量的访问要引用类的静态方法和字段，他们的表达方式是一样的@class@member或者@class@method(args)：例如：@com.javaeye.core.Resource@ENABLE，@com.javaeye.core.Resource@getAllResources 6. 方法调用直接通过类似Java的方法调用方式进行，你甚至可以传递参数：例如：user.getName()，ers.size()，group.containsUser(#requestUser)7. 投影和选择OGNL支持类似数据库中的投影（projection）和选择（selection）。

Java中动态规则的实现方式

Java中动态规则的实现⽅式背景业务系统在应⽤过程中，有时候要处理“经常变化”的部分，这部分需求可能是“业务规则”，也可能是“不同的数据处理逻辑”，这部分动态规则的问题，往往需要可配置，并对性能和实时性有⼀定要求。

Java不是解决动态层问题的理想语⾔，在实践中发现主要有以下⼏种⽅式可以实现：表达式语⾔（expression language）动态语⾔（dynamic/script language），如Groovy规则引擎（rule engine）表达式语⾔Java Unified Expression Language，简称JUEL，是⼀种特殊⽤途的编程语⾔，主要在Java Web应⽤程序⽤于将表达式嵌⼊到web页⾯。

Java规范制定者和Java Web领域技术专家⼩组制定了统⼀的表达式语⾔。

JUEL最初包含在JSP 2.1规范JSR-245中，后来成为Java EE 7的⼀部分，改在JSR-341中定义。

主要的开源实现有：，，，，，，等。

这⾥主要介绍在实践中使⽤较多的MVEL、OGNL和SpEL。

OGNL(Object Graph Navigation Library)在Struts 2 的标签库中都是使⽤OGNL表达式访问ApplicationContext中的对象数据，简单⽰例：Foo foo = new Foo();foo.setName("test");Map<String, Object> context = new HashMap<String, Object>();context.put("foo",foo);String expression = " == 'test'";try {Boolean result = (Boolean) Ognl.getValue(expression,context);System.out.println(result);} catch (OgnlException e) {e.printStackTrace();}MVELMVEL最初作为Mike Brock创建的 Valhalla项⽬的表达式计算器（expression evaluator），相⽐最初的OGNL、JEXL和JUEL等项⽬，⽽它具有远超它们的性能、功能和易⽤性 - 特别是集成⽅⾯。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

OGNL的在Struts2中的应用OGNLOGNL是Object Graph Navigation Language的简称，详细相关的信息可以参考：。

这里只涉及Struts2框架中对OGNL的基本支持。

OGNL是一个对象属性的查询语言。

OgnlValueStack是OGNL中的一个主要对象, OgnlValueStack中有一个类型为Map属性的context（称为上下文），在这个上下文中有一个根元素（root），对根元素的属性的访问可以直接使用属性名字，但是对于其他非根元素属性的访问必须加上特殊符号#。

Struts2其中Struts2上下文为ActionContex，OgnlValueStack是ActionContext的基础，在ActionContext中，有一个Map类型的属性context，而这个context就是OgnlValueStack的context对象，ActionContext中的getSession()、getApplication()等方法，底层都是通过context.get(“”)来实现的。

Struts2中ActionContext，根元素位Value Stack（值堆栈，值堆栈代表了一族对象而不是一个对象，其中Action类的实例也属于值堆栈的一个）,其中的内容如下图：||--application||--sessioncontext map--- |(ActionContext) |--value stack(root)||--request||--parameters||--attr (searches page, request,value stack,session,then application scopes)|引文：OGNL is the Object Graph Navigation Language (see / for the full documentation of OGNL). Here, we will cover a few examples of OGNL features that co-exist with the framework. To review basic concepts, refer to OGNL Basics.The framework uses a standard naming context to evaluate OGNL expressions. The top level object dealing with OGNL is a Map (usually referred as a context map or context). OGNL has a notion of there being a root (or default) object within the context. In expression,the properties of the root object can be referenced without any special "marker" notion. References to other objects are marked with a pound sign (#).The framework sets the OGNL context to be our ActionContext, and the value stack to be the OGNL root object. (The value stack is a set of several objects, but to OGNL it appears to be a single object.) Along with the value stack, the framework places other objects in the ActionContext, including Maps representing the application, session, and request contexts. These objects coexist in the ActionContext, alongside the value stack (our OGNL root).The Action instance is always pushed onto the value stack. Because the Action is on the stack, and the stack is the OGNL root, references to Action properties can omit the # marker. But, to access other objects in the ActionContext, we must use the # notation so OGNL knows not to look in the root object, but for some other object in the ActionContext.对于struts2,对其中的ognl value stack、stack context、action context概念可以按照下图来理解!先分清楚下ActionContext 、ValueStack 、Stack Context三者ActionContext一次Action调用都会创建一个ActionContext调用：ActionContext context = ActionContext.getContext()ValueStack 由OGNL框架实现可以把它简单的看作一个栈（List）。

Stack Object：放入stack中的对象，一般是action。

Stack Context（map）：stack上下文，它包含一系列对象，包括request/session/attr/application map 等。

EL：存取对象的任意属性，调用对象的方法，遍历整个对象的所有节点…ActionContext是Action上下文，可以得到request session applicationValueStack是值栈存放表单中的值Stack Context 栈上下文也是用来存值的在Struts2的运行过程中Action实例被放在Value Stack中，而Value Stack又是根元素（root）中的一个，所以对Action中的属性的访问可以不使用标记#，而对其他的访问都必须使用#标记。

引用Action的属性<s:property value="postalCode"/>ActionContext中的其他非根（root）元素的属性可以按照如下的方式访问：<s:property value="#session.mySessionPropKey"/> or<s:property value="#session["mySessionPropKey"]"/> or<s:property value="#request["mySessionPropKey"]/>具体如下:访问OGNL上下文和Action上下文，#相当于ActionContext.getContext()；下表有几个ActionContext中有用的属性：Action类可以使用ActionContext中的静态方法来访问ActionContext。

ActionContext.getContext().getSession().put("mySessionPropKey", mySessionObject);OGNL与Collection（Lists，Maps，Sets）生成List的语法为: {e1,e2,e3}.<s:select label="label" name="name"list="{'name1','name2','name3'}" value="%{'name2'}" />上面的代码生成了一个HTML Select对象，可选的内容为： name1，name2，name3，默认值为：name2。

生成Map的语法为：#{key1:value1,key2:value2}.<s:select label="label" name="name"list="#{'foo':'foovalue', 'bar':'barvalue'}" />上面的代码生成了一个HTML Select对象,foo名字表示的内容为：foovalue，bar名字表示的内容为：barvalue。

判断一个对象是否在List内存在：<s:if test="'foo' in {'foo','bar'}">muhahaha</s:if><s:else>boo</s:else><s:if test="'foo' not in {'foo','bar'}">muhahaha</s:if><s:else>boo</s:else>取得一个List的一部分：? –所有满足选择逻辑的对象^ - 第一个满足选择逻辑的对象$ - 最后一个满足选择逻辑的对象例如：person.relatives.{? #this.gender == 'male'}上述代码取得这个人（person）所有的男性（this.gender==male）的亲戚(relatives)Struts 2中的表达式语言Struts 2支持以下几种表达式语言：OGNL（Object-Graph Navigation Language），可以方便地操作对象属性的开源表达式语言；JSTL（JSP Standard Tag Library），JSP 2.0集成的标准的表达式语言；Groovy，基于Java平台的动态语言，它具有时下比较流行的动态语言（如Python、Ruby和Smarttalk等）的一些起特性；Velocity，严格来说不是表达式语言，它是一种基于Java的模板匹配引擎，具说其性能要比JSP好。