小编Rah*_*pta的帖子

我在我的windows机器上安装了Heroku工具带.但执行后heroku login我收到以下错误:

"MySQL"不被识别为内部或外部命令,可操作程序或批处理文件."MySQL"不被识别为内部或外部命令,可操作程序或批处理文件.

!    Git must be installed to use the Heroku Toolbelt.  
!    See instructions here: http://git-scm.com

Run Code Online (Sandbox Code Playgroud)

我已经安装了git,MySQL和所有正在使用cmd的工作,我的rails应用程序在我的localhost上正常工作.奇怪的是为什么heroku甚至使用mysql,因为我只是登录.如何解决这个问题？

这是关于npm包'hoek'中的原型污染安全漏洞,它是firebase@3.xx的子依赖

Hackone Url:https://hackerone.com/reports/310439

Snyk Url:https://snyk.io/test/npm/firebase/3.9.0 ？ sever = high & sever = medium & severity = low

虽然firebase团队已将其修复为此版本:https://github.com/firebase/firebase-js-sdk/issues/515 in package firebase@4.xx

我想了解这是否真的是对firebase的安全威胁,因为依赖于firebase@3.xx的人不能直接升级到@ 4.xx,因为它是一个重大变化,特别是如果他们使用angularfire@2.xx它不支持firebase @ 4.公开问题:https://github.com/firebase/angularfire/issues/934

根据上述hackone网址,该问题的影响是:

这表明攻击者可以向服务器上的所有现有对象添加属性.通过替换"toString"或"valueOf",可以使用附加属性来更改执行代码流或在每个后续请求中导致错误.

保证此漏洞至少获得拒绝服务,因为所有库都允许将属性"toString"和"valueOf"替换为"String".这会破坏express模块​​并强制服务器崩溃或向每个后续请求返回500.

可以制作更复杂的有效负载以获得远程代码执行(参见#309391中的PoC).

从阅读本文中我了解到,直接/间接使用hoek软件包的应用程序只有在服务器上运行时才容易受到攻击.

因此,使用使用firebase@3.xx的angularfire@2.xx的应用程序仅提供给客户端而不是在服务器上运行.

它仍然脆弱吗？

这是我用于我的ui-router的配置:

.state('parent', {
    url: '/child1'
    controller: ParentController,
    abstract: true
})

.state('parent.child1', {
    url: ''
})

.state('parent.child2', {
    url: '/child2'
})

我想要实现什么？

我想要一个我想要默认的/ child1网址,所以我将父级设为抽象,子状态网址为"空".

所以我希望当用户访问child2状态时,父url会被替换而不是附加它.我怎样才能实现这一目标？

我们可以通过两种方法在symfony应用程序中清除缓存:

app/console cache:clear [--env=prod]

&

rm -rf app/cache/*

两者有什么区别 ？