shou10jin的博客

原创 提示词工程从入门到精通：学完直接解锁大师级玩法

但其实，提示词工程没有那么多玄学，它本质是 “用精准的逻辑，把人类需求翻译成 AI 能听懂的语言”，是一套可复制、可落地、能快速进阶的方法论。记住：AI 不会 “猜需求”，只会 “执行指令”，入门的关键就是把 “模糊需求” 变成 “精准指令”。这篇博客，我不聊空洞的理论，只讲 “从入门到大师” 的实操干货 —— 从基础逻辑到核心技巧，从避坑指南到实战案例，每一步都能直接套用，学完就能写出大师级提示词，让 AI 成为你的 “超级助手”，而不是 “无效工具”。模糊词：别用 “好一点”“有深度”，要具体。

原创 JMeter从入门到精通：一站式掌握性能测试

为什么 JMeter 是性能测试的首选工具？在互联网高并发场景下，系统性能直接决定用户留存率 —— 一个响应延迟超过 3 秒的应用，用户流失率可达 50% 以上。Apache JMeter 作为开源性能测试工具的标杆，凭借跨平台、多协议支持、高扩展性三大核心优势，成为测试工程师和后端开发者的必备技能：它不仅能模拟万级并发用户，还支持 HTTP/HTTPS、数据库、FTP 等 10 + 协议，且完全免费开源，功能不输商业工具。

原创 新手必看｜Dify 零代码实战指南：5分钟搭建专属客服智能体

Dify新手实战指南：10分钟搭建客服智能体 Dify作为零代码AI智能体平台，让新手也能轻松搭建专业客服系统。本文通过5个步骤手把手教学：1）3分钟完成注册、配置大模型和准备知识库；2）5分钟核心操作：创建知识库并采用"父子分段"策略、建立应用、配置角色提示词、关联知识库；3）2分钟测试优化后部署上线。特别提示新手注意：必须配置大模型、选择合适分段方式、优化提示词、控制文件大小。通过"准备-创建-配置-关联-测试"的标准流程，零基础用户也能快速构建能自动回答产品咨询

原创 LangChain TextSplitter语义分块：告别固定切分，打造高质量RAG文本块

在搭建RAG检索增强生成、本地知识库问答系统时，很多开发者容易陷入一个误区：把文档加载完成就直接丢进向量数据库，或是简单用固定字符数粗暴切分文本。结果往往是检索不准、回答断层、知识点割裂，明明文档里有答案，大模型却答不对，核心问题就出在文本分块这一步。LangChain 提供的 TextSplitter 模块，绝不仅仅是简单的文本切割工具，尤其是语义分块策略，更是工业级RAG项目的核心分块方案。它摒弃了传统固定长度分块的弊端，以语义完整性为核心拆分依据，从根源上提升检索精度和问答质量。

原创 LangChain基础入门：DocumentLoader加载PDF/Markdown文档实战

在做RAG检索增强生成、本地知识库问答、文档智能分析这类LLM应用时，第一步往往不是写prompt、调模型，而是把本地非结构化文档转化为大模型能读懂的结构化数据。LangChain作为LLM应用开发的主流框架，专门提供了DocumentLoader（文档加载器）模块，用来高效读取各类常见文档，其中PDF和Markdown是日常开发中最常用的两种格式。

原创 Milvus从入门到精通：零基础也能快速掌握的向量数据库全攻略

在大模型、RAG、语义搜索、多模态检索爆火的今天，向量数据库已经成为AI应用的核心基建。而Milvus作为全球最流行的开源向量数据库，凭借轻量、高效、易扩展的特性，成为新手入门和生产落地的首选。这篇博客专为零基础新手打造，从核心概念、环境搭建、基础CRUD，到实战案例、索引优化、生产部署，全程无晦涩术语，代码可直接复制运行，带你一步步从入门到精通Milvus，轻松搞定向量检索场景。一、先搞懂：Milvus是什么？为什么要学它？1.1 核心概念：向量数据库与Milvus。

原创 一文看懂AI Agent：从LangChain到LangGraph，新手零门槛入门

最近AI Agent（智能体）火遍大江南北，不管是自动化办公、智能问答还是复杂任务推理，都离不开它的身影。而提到AI Agent开发，LangChain和LangGraph是绕不开的两个核心工具，很多新手刚接触时，总会被这两个概念绕晕：AI Agent到底是什么？和普通ChatGPT有啥区别？LangChain是干嘛的？能直接做Agent吗？LangGraph又是什么？为什么大家都说它比LangChain更适合做复杂Agent？这篇文章专门写给零基础新手，全程白话讲解、搭配极简流程图和入门代码，不搞晦涩术语

原创 大模型核心概念扫盲：LLM/RAG/Agent 超详细通俗解读

《一文搞懂LLM、RAG、Agent：大模型核心概念扫盲指南》 本文针对AI新手，用生活化比喻系统讲解三大核心概念： LLM（大语言模型）：AI的"语言大脑"，通过预测生成文本，具备通用语言能力但存在知识边界和幻觉问题 RAG（检索增强生成）：LLM的"外挂知识库"，通过检索真实资料解决幻觉问题，支持最新/私密知识调用 Agent（智能体）：以LLM为大脑的"AI助理"，能自主规划、调用工具完成复杂任务 三者关系：LLM是基础，RAG补充知识，Ag

原创 AI新手知识体系

掌握程序员高频用到的AI核心技术，理解其核心作用与应用场景，无需深钻底层算法，聚焦。AI时代程序员的核心能力不再是“手写代码的速度”，而是。核心作用：实现大模型的本地部署，解决。AI技术的核心价值是。

原创 Cursor AI编辑器全攻略：从安装到精通，零代码也能做开发

本教程由深耕Cursor近一年的开发者打造，面向（非仅程序员），全面讲解Cursor的背景、安装、汉化、核心功能、使用技巧/思路，同时分享免费使用方法和规避设备检测的技巧，核心教会大家用正确方式高效使用Cursor实现AI编程，甚至零代码开发产品。调研发现超40%程序员未了解过Cursor，60%接触过的程序员仅浅层使用，而对Cursor深度理解的人群中产品经理占比更高，核心原因是产品经理对需求的表达和理解更清晰。

原创 基于标准目录的Java SDD生成提示

6.2 公共API接口清单：以Markdown表格形式呈现所有公共API接口，固定列如下（不可增减）：接口归属服务、接口路径、请求方法（GET/POST/PUT/DELETE等）、入参（DTO/实体类，标注核心字段及类型）、出参（DTO/响应模型，标注核心字段及类型）、必填项、接口说明。7.2 数据库设计：针对项目所用数据库，梳理数据表结构，每个数据表需明确表名、字段名、数据类型（对应数据库字段类型）、主键、外键、索引、字段说明，所有信息需与数据库脚本、MyBatis/JPA映射文件（或注解）完全一致。

原创 通义灵码输出软件设计文档实例1

本项目是基于WS63芯片的嵌入式物联网固件开发平台，为物联网设备提供完整的硬件抽象层、操作系统适配层和中间件服务。- 由于缺少数据库或数据结构定义文件，无法从现有目录结构中提取实体/数据表结构、字段名、类型、关系信息。- 需要分析具体的头文件和源代码才能提供完整的API接口信息。

原创 copilot生成文档示例1

ObsService。

原创 从入门到进阶的保姆级刷题指南

题目描述：给定一个按照升序排列的整数数组 nums，和一个目标值 target。找出给定目标值在数组中的开始位置和结束位置。如果数组中不存在目标值，返回 [-1, -1]。解题思路：两次二分查找：第一次找左边界（第一个>=target的索引），第二次找右边界（最后一个<=target的索引）；验证左边界是否等于target，否则返回[-1,-1]。代码实现：// 找左边界：第一个>=target的索引res = mid;// 继续向左找} else {

原创 【力扣练习题】167. 两数之和 II - 输入有序数组

时间复杂度：O(n)，其中 n 是数组的长度。两个指针移动的总次数最多为 n 次。空间复杂度：O(1)。

原创 【力扣练习题】151. 反转字符串中的单词

时间复杂度：O(n)，其中 n 为输入字符串的长度。空间复杂度：O(n)，用来存储字符串分割之后的结果。// 除了最后一个单词，其余单词后加空格。// 从后往前遍历数组。

原创 【力扣练习题】55. 跳跃游戏

i< n;i++) {

原创 【力扣练习题】122. 买卖股票的最佳时机2

原创 【力扣练习题】121. 买卖股票的最佳时机

i< l;i++) {return max;

原创 web漏洞之权限控制缺陷

当这套验证机制存在设计漏洞或实现缺陷时，攻击者就能通过绕过验证、篡改标识等方式，获取本不应拥有的权限，这就是权限控制缺陷类漏洞的核心逻辑。越权访问是最常见的权限控制缺陷，指攻击者突破自身权限边界，访问 / 操作其他用户或更高权限的资源，分为水平越权和垂直越权两类。标识篡改未校验：依赖用户可控的参数（如用户 ID、角色 ID）标识权限，却未校验该参数与当前登录用户的关联性；默认权限过宽：接口或资源默认配置为 “允许所有用户访问”，未明确设置权限白名单。一、权限控制缺陷核心原理：权限边界的 “破防” 逻辑。

原创 【力扣练习题】热题100道【栈】20. 有效的括号

原创 【力扣练习题】热题100道【哈希】189. 轮转数组

两种 Python 实现（常规循环版、切片优化版）的时间复杂度均为 O(n)（n 为列表长度），核心操作次数随列表长度线性增长。// 关键：处理 k >= n 的情况，旋转 n 步相当于没有旋转，取余简化操作。// 无需旋转，直接返回。

原创 【力扣练习题】热题100道【哈希】560. 和为 K 的子数组

空间复杂度：O (n)，哈希表最多存储 n 个不同的前缀和（极端情况如数组元素全为正数，前缀和唯一）。// 初始化：前缀和为0的情况出现1次（对应子数组从下标0开始的情况）// 初始化：前缀和为0的情况出现1次（对应子数组从下标0开始的情况）// 哈希表：key=前缀和值，value=该前缀和出现的次数。// 哈希表：key=前缀和值，value=该前缀和出现的次数。// pre：记录当前的前缀和（前i个元素的和）// pre：记录当前的前缀和（前i个元素的和）* 统计和为k的连续子数组个数。

原创 【力扣练习题】【动态规划】56. 合并区间

原创 【力扣练习题】【动态规划】53. 最大子数组和

原创 华为云安全配置检查清单

检查方式：结合华为云控制台（IAM/ECS/RDS/K8s 等服务页面）+ 命令行工具（如nmap扫描端口、curl验证 HTTPS 配置）+ 安全中心告警排查。优先级：标记 “高危” 的检查项（如公网开放高危端口、RDS 未加密、IAM 弱口令）需优先整改，整改完成后方可上线。复查周期：上线前全量检查，上线后每月抽查核心项（如权限配置、日志审计），每季度全量复查。三、数据存储安全（RDS/Redis/OBS）二、计算资源安全（ECS/K8s）四、身份认证与权限安全（IAM）五、应用与中间件安全。

原创 华为云部署Web平台渗透测试全流程计划

【代码】华为云部署Web平台渗透测试全流程计划。

原创 华为云 CCE 部署 XXL-Job 实战：单 YAML 搞定分布式任务调度

华为云 CCE 部署 XXL-Job 实战：单 YAML 搞定分布式任务调度在微服务架构中，分布式任务调度是核心需求之一，XXL-Job 作为国内最流行的开源任务调度平台，以其轻量级、高可用、易扩展的特性被广泛应用。本文将详细介绍如何在华为云容器服务 CCE 中，通过单 YAML 文件快速部署 XXL-Job 全栈（调度中心 + 执行器），适配华为云 RDS 数据库、ELB 负载均衡等云原生特性，实现一站式部署与运维。

原创 华为云 CCE 快速部署 Apollo 配置中心：单 YAML 一站式实现

华为云 CCE 快速部署 Apollo 配置中心：单 YAML 一站式实现在云原生环境中，配置中心是微服务架构的核心组件之一，而 Apollo（阿波罗）作为携程开源的分布式配置中心，以其易用性、高可用性和强大的配置管理能力被广泛采用。本文将详细介绍如何在华为云容器服务 CCE 中，通过单 YAML 文件快速部署 Apollo 配置中心（包含 Config Service、Admin Service、Portal 全组件），适配华为云 RDS 数据库、ELB 负载均衡等特性，实现一站式部署与运维。

原创 跨站请求伪造（CSRF）：攻击案例解析与全方位防御指南

跨站请求伪造（CSRF）：攻击案例解析与全方位防御指南在 Web 安全领域，跨站请求伪造（Cross-Site Request Forgery，简称 CSRF）是仅次于 XSS 的常见漏洞。它利用用户的身份凭证（如 Cookie、Session），诱导用户在已登录状态下执行非本意的操作，小到修改个人资料，大到转账支付，都可能成为攻击目标。本文将通过真实场景案例，拆解 CSRF 攻击的完整链路，带你理解其核心原理，并提供可落地的防御方案，帮助开发者从编码阶段杜绝此类漏洞。

原创 文件上传漏洞：攻击案例拆解与全方位防御指南

在 Web 安全漏洞图谱中，文件上传漏洞以其利用门槛低、危害范围广著称，仅次于 XSS 与 SQL 注入。攻击者通过上传恶意文件（如木马、病毒、伪装资源），可直接获取服务器控制权、窃取敏感数据，甚至搭建黑产资源库。据 OWASP 统计，约 30% 的 Web 入侵事件与文件上传漏洞相关。本文将通过真实案件还原攻击流程，解析核心绕过技巧，并提供可落地的防御体系，帮助开发者从根源杜绝此类漏洞。一、先搞懂：文件上传漏洞是什么？

原创 【力扣练习题】【双指针】三数之和

/ 就不会有满足 a+b+c=0 并且 b<c 的 c 了，可以退出循环。// 需要保证 b 的指针在 c 的指针的左侧。// c 对应的指针初始指向数组的最右端。// 如果指针重合，随着 b 后续的增加。// 需要和上一次枚举的数不相同。// 需要和上一次枚举的数不相同。

原创 【力扣练习题】热题100道【哈希】 最长连续序列

增加了判断跳过的逻辑之后，时间复杂度是多少呢？外层循环需要 O(n) 的时间复杂度，只有当一个数是连续序列的第一个数的情况下才会进入内层循环，然后在内层循环中匹配连续序列中的数，因此数组中的每个数只会进入内层循环一次。根据上述分析可知，总时间复杂度为 O(n)，符合题目要求。

原创 从入门到实战：XSS 跨站脚本攻击完全指南

XSS 的本质是Web 应用对用户输入的信任度过高，未做安全过滤与转义，导致恶意 JavaScript 代码在受害者浏览器中执行。正常情况下，用户输入的内容会被 Web 应用当作普通文本渲染；而存在 XSS 漏洞时，用户输入的<script>等标签会被当作合法代码解析执行。通过本文的学习，你已经掌握了 XSS 的核心原理、实战利用和防御方案。高级绕过技巧：针对 WAF（Web 应用防火墙）的绕过、多上下文 XSS（如 JS 上下文、CSS 上下文）的利用。XSS 与其他漏洞结合。

原创 【渗透测试】如何利用漏洞进行渗透测试

渗透测试需在合法授权前提下开展，核心逻辑是 “模拟黑客攻击路径，从信息收集到权限维持逐步推进”，利用漏洞的过程需遵循 “最小影响、可回溯” 原则。漏洞扫描与验证：用工具（Nessus、AWVS、Burp Suite）扫描潜在漏洞，再手动验证漏洞真实性（避免误报）。明确范围与授权：确认测试目标（IP、域名、端口）、时间窗口，签订书面授权协议，禁止超出范围测试。信息收集：收集目标资产信息（子域名、开放端口、服务版本、技术栈），为漏洞挖掘打基础。报告输出：列出漏洞详情、利用过程、风险等级及修复建议。

原创 渗透测试的漏洞有哪些

中间件漏洞：Tomcat、Nginx、IIS 等中间件存在未授权访问、远程代码执行漏洞（如 Tomcat 后台弱口令部署恶意 war 包）。端口 / 服务漏洞：开放高危端口（如 3389、22）且缺乏防护，或服务存在已知漏洞（如 Heartbleed、Log4j）。物联网设备漏洞：默认密码未修改、缺乏加密传输、固件存在后门，可被批量控制（如 Mirai 僵尸网络）。权限控制缺陷：越权访问（水平 / 垂直）、权限绕过、未授权访问敏感接口 / 数据。

原创 【渗透测试】SQL 注入和防护实战案例

防护层级核心措施根源防护参数化查询/ORM框架（杜绝拼接）输入防护白名单验证+转义（过滤恶意输入）权限防护最小权限账号+禁用高危功能（降低攻击影响）监控防护WAF+日志审计+漏洞扫描（及时发现攻击）关键提醒：没有单一的“万能防护”，需多层防护结合——即使WAF被绕过，参数化查询仍能阻断注入；即使输入验证遗漏，最小权限也能限制攻击破坏范围。

原创 【力扣练习题】【双指针】两数之和-哈希

原创 【力扣练习题】49. 字母异位词分组-哈希

JAVApython。

原创 基于spring security实现级别的RBAC权限模型

RBAC 权限模型实现（基于 Spring Security）RBAC（Role-Based-Based Access Control）是一种常见的权限管理模型，通过用户 - 角色 - 权限的三层关系实现灵活的权限控制。下面我将实现一个基于 Spring Security 的简单 RBAC 模型。