【前情提要】：

【Struts】

? ? ? ?Struts2是一個基于MVC設(shè)計(jì)模式的Web應(yīng)用框架，它本質(zhì)上相當(dāng)于一個servlet，在MVC設(shè)計(jì)模式中，Struts2作為控制器(Controller)來建立模型與視圖的數(shù)據(jù)交互。Struts 2是Struts的下一代產(chǎn)品，是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心，采用攔截器的機(jī)制來處理用戶的請求，這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與API完全脫離開，所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化，但是相對于WebWork，Struts 2的變化很小。

? ? ? ? ? ? ?

【曝出高危安全漏洞】：

? ? ? Struts2曝出2個高危安全漏洞，一個是使用縮寫的導(dǎo)航參數(shù)前綴時的遠(yuǎn)程代碼執(zhí)行漏洞，另一個是使用縮寫的重定向參數(shù)前綴時的開放式重定向漏洞。這些漏洞可使黑客取得網(wǎng)站服務(wù)器的“最高權(quán)限”，從而使企業(yè)服務(wù)器變成黑客手中的“肉雞”。

【解決措施】：

? ? ? Apache Struts團(tuán)隊(duì)已發(fā)布了最新的Struts 2.3.15.1，修復(fù)了上述漏洞，建議采用Struts 2.0至Struts 2.3的網(wǎng)站開發(fā)者盡快升級至最新版。?

【帶來影響】：

? ? ? 據(jù)烏云平臺漏洞報告，淘寶、京東、騰訊等大型互聯(lián)網(wǎng)廠商均受此影響，而且漏洞利用代碼已經(jīng)被強(qiáng)化，可直接通過瀏覽器的提交對服務(wù)器進(jìn)行任意操作并獲取敏感內(nèi)容。Struts漏洞影響巨大，受影響站點(diǎn)以電商、銀行、門戶、政府居多，而且一些自動化、傻瓜化的利用工具開始出現(xiàn)，填入地址可直接執(zhí)行服務(wù)器命令，讀取數(shù)據(jù)甚至直接關(guān)機(jī)等操作。[1]?

瑞星安全專家介紹，本次曝出的2個漏洞是由于縮寫的導(dǎo)航和重定向前綴“action:”、 “redirect:”、 “redirectAction:”造成的。瑞星安全專家表示，由于這些參數(shù)前綴的內(nèi)容沒有被正確過濾，導(dǎo)致黑客可以通過漏洞執(zhí)行命令，獲取目標(biāo)服務(wù)器的信息，并進(jìn)一步取得服務(wù)器最高控制權(quán)。屆時，被攻擊網(wǎng)站的數(shù)據(jù)庫將面臨全面泄密的威脅，同時黑客還可以通過重定向漏洞的手段，對其他網(wǎng)民進(jìn)行釣魚攻擊或掛馬攻擊。?

?

【Spring4】

?

? ? ?Spring是一個開源框架， Spring使用基本的JavaBean來完成以前只可能由EJB完成的事情。然而，Spring的用途不僅限于服務(wù)器端的開發(fā)。從簡單性、可測試性和松耦合的角度而言，任何Java應(yīng)用都可以從Spring中受益。

????目的：解決企業(yè)應(yīng)用開發(fā)的復(fù)雜性

????功能：使用基本的JavaBean代替EJB，并提供了更多的企業(yè)應(yīng)用功能

????范圍：任何Java應(yīng)用

????簡單來說，Spring是一個輕量級的控制反轉(zhuǎn)(IoC)和面向切面(AOP)的容器框架。

輕量——從大小與開銷兩方面而言Spring都是輕量的。完整的Spring框架可以在一個大小只有1MB多的JAR文件里發(fā)布。并且Spring所需的處理開銷也是微不足道的。此外，Spring是非侵入式的：典型地，Spring應(yīng)用中的對象不依賴于Spring的特定類。

控制反轉(zhuǎn)——Spring通過一種稱作控制反轉(zhuǎn)（IoC）的技術(shù)促進(jìn)了松耦合。當(dāng)應(yīng)用了IoC，一個對象依賴的其它對象會通過被動的方式傳遞進(jìn)來，而不是這個對象自己創(chuàng)建或者查找依賴對象。你可以認(rèn)為IoC與JNDI相反——不是對象從容器中查找依賴，而是容器在對象初始化時不等對象請求就主動將依賴傳遞給它。

????面向切面——Spring提供了面向切面編程的豐富支持，允許通過分離應(yīng)用的業(yè)務(wù)邏輯與系統(tǒng)級服務(wù)（例如審計(jì)（auditing）和事務(wù)（transaction）管理）進(jìn)行內(nèi)聚性的開發(fā)。應(yīng)用對象只實(shí)現(xiàn)它們應(yīng)該做的——完成業(yè)務(wù)邏輯——僅此而已。它們并不負(fù)責(zé)（甚至是意識）其它的系統(tǒng)級關(guān)注點(diǎn)，例如日志或事務(wù)支持。

容器——Spring包含并管理應(yīng)用對象的配置和生命周期，在這個意義上它是一種容器，你可以配置你的每個bean如何被創(chuàng)建——基于一個可配置原型（prototype），你的bean可以創(chuàng)建一個單獨(dú)的實(shí)例或者每次需要時都生成一個新的實(shí)例——以及它們是如何相互關(guān)聯(lián)的。然而，Spring不應(yīng)該被混同于傳統(tǒng)的重量級的EJB容器，它們經(jīng)常是龐大與笨重的，難以使用。

框架——Spring可以將簡單的組件配置、組合成為復(fù)雜的應(yīng)用。在Spring中，應(yīng)用對象被聲明式地組合，典型地是在一個XML文件里。Spring也提供了很多基礎(chǔ)功能（事務(wù)管理、持久化框架集成等等），將應(yīng)用邏輯的開發(fā)留給了你。

????所有Spring的這些特征使你能夠編寫更干凈、更可管理、并且更易于測試的代碼。它們也為Spring中的各種模塊提供了基礎(chǔ)支持。

?

【Hibernate5?】

? ? ? Hibernate是一個開放源代碼的對象關(guān)系映射框架，它對JDBC進(jìn)行了非常輕量級的對象封裝，使得Java程序員可以隨心所欲的使用對象編程思維來操縱數(shù)據(jù)庫。 Hibernate可以應(yīng)用在任何使用JDBC的場合，既可以在Java的客戶端程序使用，也可以在Servlet/JSP的Web應(yīng)用中使用，最具革命意義的是，Hibernate可以在應(yīng)用EJB的J2EE架構(gòu)中取代CMP，完成數(shù)據(jù)持久化的重任。

? ? ? Hibernate的核心接口一共有5個，分別為:Session、SessionFactory、Transaction、Query和Configuration。這5個核心接口在任何開發(fā)中都會用到。通過這些接口，不僅可以對持久化對象進(jìn)行存取，還能夠進(jìn)行事務(wù)控制。下面對這五個核心接口分別加以介紹。

? ? ? Session接口:Session接口負(fù)責(zé)執(zhí)行被持久化對象的CRUD操作(CRUD的任務(wù)是完成與數(shù)據(jù)庫的交流，包含了很多常見的SQL語句。)。但需要注意的是Session對象是非線程安全的。同時，Hibernate的session不同于JSP應(yīng)用中的HttpSession。這里當(dāng)使用session這個術(shù)語時，其實(shí)指的是Hibernate中的session，而以后會將HttpSesion對象稱為用戶session。

? ? ? SessionFactory接口:SessionFactory接口負(fù)責(zé)初始化Hibernate。它充當(dāng)數(shù)據(jù)存儲源的代理，并負(fù)責(zé)創(chuàng)建Session對象。這里用到了工廠模式。需要注意的是SessionFactory并不是輕量級的，因?yàn)橐话闱闆r下，一個項(xiàng)目通常只需要一個SessionFactory就夠，當(dāng)需要操作多個數(shù)據(jù)庫時，可以為每個數(shù)據(jù)庫指定一個SessionFactory。

? ? ? Configuration接口:Configuration接口負(fù)責(zé)配置并啟動Hibernate，創(chuàng)建SessionFactory對象。在Hibernate的啟動的過程中，Configuration類的實(shí)例首先定位映射文檔位置、讀取配置，然后創(chuàng)建SessionFactory對象。

? ? ? Transaction接口:Transaction接口負(fù)責(zé)事務(wù)相關(guān)的操作。它是可選的，開發(fā)人員也可以設(shè)計(jì)編寫自己的底層事務(wù)處理代碼。

?

【在Struts + Spring + Hibernate的組合框架模式中，三者各自的特點(diǎn)都是什么？】

? ? ? Struts 的MVC設(shè)計(jì)模式可以使我們的邏輯變得很清晰。

? ? ? Spring 的IOC和AOP可以使我們的產(chǎn)品在最大限度上解藕。

? ? ? hibernate的當(dāng)然就是實(shí)體對象的持久化了

?

【三層結(jié)構(gòu)】

? ? ? 典型的J2EE三層結(jié)構(gòu)，分為表現(xiàn)層、中間層（業(yè)務(wù)邏輯層）和數(shù)據(jù)服務(wù)層。三層體系將業(yè)務(wù)規(guī)則、數(shù)據(jù)訪問及合法性校驗(yàn)等工作放在中間層處理。客戶端不直接與數(shù)據(jù)庫交互，而是通過組件與中間層建立連接，再由中間層與數(shù)據(jù)庫交互。

表現(xiàn)層是傳統(tǒng)的JSP技術(shù)，自1999年問世以來，經(jīng)過多年的發(fā)展，其廣泛的應(yīng)用和穩(wěn)定的表現(xiàn)，為其作為表現(xiàn)層技術(shù)打下了堅(jiān)實(shí)的基礎(chǔ)。

中間層采用的是流行的Spring+Hibernate，為了將控制層與業(yè)務(wù)邏輯層分離，又細(xì)分為以下幾種。

Web層，就是MVC模式里面的“C”（controller），負(fù)責(zé)控制業(yè)務(wù)邏輯層與表現(xiàn)層的交互，調(diào)用業(yè)務(wù)邏輯層，并將業(yè)務(wù)數(shù)據(jù)返回給表現(xiàn)層作組織表現(xiàn)，該系統(tǒng)的MVC框架采用Struts。

Service層（就是業(yè)務(wù)邏輯層），負(fù)責(zé)實(shí)現(xiàn)業(yè)務(wù)邏輯。業(yè)務(wù)邏輯層以DAO層為基礎(chǔ)，通過對DAO組件的正面模式包裝，完成系統(tǒng)所要求的業(yè)務(wù)邏輯。

? ? ?DAO層，負(fù)責(zé)與持久化對象交互。該層封裝了數(shù)據(jù)的增、刪、查、改的操作。

PO，持久化對象。通過實(shí)體關(guān)系映射工具將關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)映射成對象，很方便地實(shí)現(xiàn)以面向?qū)ο蠓绞讲僮鲾?shù)據(jù)庫，該系統(tǒng)采用Hibernate作為ORM框架。

Spring的作用貫穿了整個中間層，將Web層、Service層、DAO層及PO無縫整合，其數(shù)據(jù)服務(wù)層用來存放數(shù)據(jù)。

一個良好的框架可以讓開發(fā)人員減輕重新建立解決復(fù)雜問題方案的負(fù)擔(dān)和精力；它可以被擴(kuò)展以進(jìn)行內(nèi)部的定制化；并且有強(qiáng)大的用戶社區(qū)來支持它。框架通常能很好的解決一個問題。然而，你的應(yīng)用是分層的，可能每一個層都需要各自的框架。僅僅解決UI問題并不意味著你能夠很好的將業(yè)務(wù)邏輯和持久性邏輯和UI 組件很好的耦合。

?

? ? ? 采用Hibernate作為持久層技術(shù)的最大的好處在于：可以完全以面向?qū)ο蟮姆绞竭M(jìn)行系統(tǒng)分析、系統(tǒng)設(shè)計(jì)。

DAO模式需要為每個DAO組件編寫DAO接口，同時至少提供一個實(shí)現(xiàn)類，根據(jù)不同需要，可能有多個實(shí)現(xiàn)類。用Spring容器代替DAO工廠

通常情況下，引入接口就不可避免需要引入工廠來負(fù)責(zé)DAO組件的生成。Spring實(shí)現(xiàn)了兩種基本模式：單態(tài)模式和工廠模式。而使用Spring可以完全避免使用工廠模式，因?yàn)镾pring就是個功能非常強(qiáng)大的工廠。因此，完全可以讓Spring充當(dāng)DAO工廠。

由Spring充當(dāng)DAO工廠時，無須程序員自己實(shí)現(xiàn)工廠模式，只需要將DAO組件配置在Spring容器中，由ApplicationContext負(fù)責(zé)管理DAO組件的創(chuàng)建即可。借助于Spring提供的依賴注入，其他組件甚至不用訪問工廠，一樣可以直接使用DAO實(shí)例。