让我想起我刚毕业时在第一家公司的试用期，我的主管发现我在用getTimer()，他告诫我这个方法不能用，最好自己定义个elapsed然后取delta来累加，我：？？？？为啥？他说：因为这个getTimer()的返回值会不停的增长，最终会溢出。我：？？？？一年也才几毫秒，long那么大，到猴年马月才有溢出，这个游戏能在客户机上跑一年坚持不重启吗？主管听了很不高兴，在我转正的时候说我试用不合格要把我开掉，最终因为同事们说好话压了我300…

怎么可能死透 我司软件没有禁止用户名使用 '但如果你的用户名含有'那么就会因为拼接SQL语句出现各种稀奇古怪的情况 比如''''这个用户名可以成功添加，但会显示为''并且这个用户不但不能正常登录，还不能从用户管理里顺利删除 所以只要创建一大堆含有'的用户，就能直接把系统能接受的用户数量撑满，间接瘫痪整个系统，并且除了手动去本地数据库里修复或者直接扬了本地数据库外无解

给大家分享一个真实的案例。 之前一条sql注入直接把我们支付系统搞挂了一个小时，说出来都是泪。 最近我在整理安全漏洞相关问题，准备在公司做一次分享。恰好，这段时间团队发现了一个sql注入漏洞：在一个公共的分页功能中，排序字段作为入参，前端页面可以自定义。在分页sql的mybatis mapper.xml中，order by字段后面使用$符号动态接收计算后的排序参数，这样可以实现动态排序的功能。 但是，如果入参传入： id; select 1 --最…