ThinkJS

本次内容是基于之前分享的文字版，诺想看重点的话可以看之前的 PPT。 GraphQL 是一款由 Facebook 主导开发的数据查询和操作语言， 写过 SQL 查询的同学可以把它想象成是 SQL 查询语言，但 GraphQL 是给客户端查询数据用的。虽然这让你听起来觉得像是一款…

“有人的地方就有江湖，有数据库存在的地方就可能存在 SQL 注入漏洞。” 在所有漏洞类型中，SQL 注入可是说是危害最大最受大家关注的漏洞。简单说来，SQL 注入是通过在用户可控参数中注入SQL语法，破坏原有SQL结构，达到编写程序时意料之外结果的攻击行为。还是以 ThinkJ…

在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种，目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息，同时在 cookie 中将 session id（即刚才说的键）存储到 …

编者注：ThinkJS 作为一款 Node.js 高性能企业级 Web 框架，收到了越来越多的用户的喜爱。今天我们请来了 ThinkJS 用户 @lscho 同学为我们分享他基于 ThinkJS 开发一款类 CMS 的博客系统的心得。下面就赶紧让我们来看看 ThinkJS 和 …

这是一篇关于ThinkJS框架的文章，因为网上对于该框架的介绍非常少，所以在这里通俗讲解一下自己对该框架基本的认识并且提供了一个练习基本功能的项目。 因为这是基于Node.js的框架，所以先带新手入门一点Node.js的知识。 Node.js：简单的说Node.js就是运行在服…

编者说：作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了，然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击，希望能帮助到大家。 XSS（Cross-Site Scripting）又称跨站脚本，XSS的重点不在于跨…

MySQL 5.7 增加了 JSON 数据类型的支持，在之前如果要存储 JSON 类型的数据的话我们只能自己做 JSON.stringify() 和 JSON.parse() 的操作，而且没办法针对 JSON 内的数据进行查询操作，所有的操作必须读取出来 parse 之后进行，…

不久前，我们接了一个自己做前端后端产品的活，从此过上了可怜巴巴敲代码开开心心收获知识的日子呢。 用户小姐姐在群里说，系统筛选工卡有效期不好使。（系统：不不不，不是我的锅 整整齐齐。 小姐姐们的操作流程是先用我们的系统导出一份 Excel，编辑之后再导入系统的，那只要我把这工卡一…

在 ThinkJS 的用户群里，经常有开发者提出需要对源码进行加密保护的需求。我们知道 JavaScript 是一门动态语言，不像其他静态语言可以编译成二进制包防止源码泄露。所以就出现了 pkg、nexe 之类的工具，支持将 JS 代码连同 Node 一块打包成一个可执行文件，…

上周我们分享了一篇 《Web 安全漏洞之 SQL 注入》，其原理简单来说就是因为 SQL 是一种结构化字符串语言，攻击者利用可以随意构造语句的漏洞构造了开发者意料之外的语句。而今天要讲的 OS 命令注入其实原理和 SQL 注入是类似的，只是场景不一样而已。OS 注入攻击是指程序…

编者注：俗话说的好 “并发不够，机器来凑”，当我们面对高并发请求的时候增加机器是最简单也是最土豪的做法。不过在资源有限的情况除了去优化代码我们又该怎么办呢？今天我们请来了 @有马 同学为我们分享一下他在这方面的经验，希望能帮助到大家。 想要开发牢固的Web API只考虑安全是不…

编者注：我相信鉴权应该是大部分 Web 服务必备的基础功能之一。实现权限验证的方式有很多种，其中 JSON Web Token（即JWT）这种使用 Token 验证的方式受到了越来越多开发者的喜爱。其相对于传统的验证方式来说会更为安全一点，而且相对而言由于加密串中就包含了权限信…

编者注：日常开发中少不了有大量的数据库查询操作，而关联模型的出现则是帮助开发人员尽量减少重复劳动。ThinkJS 中的关联模型功能也一直是受到大家的好评的，不过对于没有接触过的新同学有时候会不太懂如何配置。今天我们请来了 ThinkJS 用户 @lscho 同学为我们分享一下他…

RESTful 是目前比较主流的一种用来设计和编排服务端 API 的一种规范。在 RESTful API 中，所有的接口操作都被认为是对资源的 CRUD，使用 URI 来表示操作的资源，请求方法表示具体的操作，响应状态码表示操作结果。之前使用 RESTful 的规范写过不少 A…

代码调试按照调试方式大致分为 日志（Log） 和 断点（Breakpoint） 两种办法。其中日志就是手动的在代码中增加日志打印获取过程信息来判断问题。这种方法的好处是调试简单，一个对业务熟练的工程师通过线上良好的日志记录可以非常快的发现业务问题。但是它的缺点也非常明显，获取的…

编者注：今天呢我们请来了 @有马 同学为我们分享他在做某数据可视化大屏项目的时候使用服务端渲染大屏动画的经验。说到服务端渲染大家一般都想到 Vue 的 SSR 或者 React 的同构吧，不过动画也是可以在服务端渲染的哦！所以让我们赶快进入正文看看到底是怎么实现的吧~ Thin…

我们的项目是基于 ThinkJS + Vue 开发的，最近实现了一个多端实时同步数据的功能，所以想写一篇文章来介绍下如何在 ThinkJS 的项目中利用 WebSocket 实现多端的实时通信。ThinkJS 是基于 Koa 2 开发的企业级 Node.js 服务端框架，文章中…

ZEIT 是免费的云平台，支持部署静态网站以及 Serverless 函数。Serverless 是近几年比较火的概念，简单去理解就是你只需要去实现具体的业务逻辑，而与最终服务相关的服务器、HTTP 服务等则由第三方管理。Serverless 又被称为 FaaS（函数即服务），…

本人前端渣渣一枚，这篇文章是第一次写，如果有硬核bug，请大佬们轻喷、指出... 【需求】小项目很多很杂，而且大部分需求都是基于微信开发的，每次都查微信文档的话就会很郁闷😒... 【号多】公众号超级多，项目中偶尔会涉及借权获取用户信息(在不绑定微信开放平台的前提下，需要临时自…