央视科学测试：面具也可代替人脸解锁手机

在过去的四年里，全球对人工智能领域人才的需求增加了74%，而60%的人工智能人才都聚集在了科技和金融服务公司中。

AI/ML专业人员需要具备多种技能

现在，人工智能领域的从业人员大多都身兼数职，预计未来也会持续这种趋势。目前，市场上很受欢迎的三个人工智能职位是数据科学家兼算法开发人员、机器学习工程师、和深度学习工程师。据求职网站Indeed显示，软件开发人员在人工智能项目中需要熟练掌握包括数学、代数、统计、大数据、数据挖掘、数据科学、机器学习、认知计算、自然语言处理(NLP)、Hadoop、Spark在内的多种主要技能和工具。AI开发人员最常用的编程语言是Phyton、c++、Java、LISP和Prolog。此外，企业还要求求职者必须具备使用开放源码开发环境的经验。例如，熟练使用Spark、MATLAB和Hadoop就是必备技能之一。
 

过解决方法也很简单，只要通过参数化查询来避免直接将参数与查询句拼接，并进行适当的输入检查、插入转义字符、严格设定程序权限，就能够有效避免 SQL 注入了。

XSS

XSS（跨站攻击）也叫JavaScript 注入，是现代网站最频繁出现的问题之一，它指的是网站被恶意用户植入了其他代码，通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站，恶意用户如果写入一小段 <script>，并且前、后端都没有针对输入内容做字符转换和过滤处理，直接把用户输入的字串作为页面内容的话，就有可能遭到 XSS。

常见的 XSS 有几个类型：将恶意代码写入数据库，当数据被读取出来时就会执行的储存型XSS；将用户输入的内容直接带回页面上的反射型XSS；以及利用 DOM 的特性，各种花式执行恶意代码的DOM-based型XSS。

储存型及反射型都很好理解，DOM-based 型就非常有意思了;可以参考OSWAP 整理的XSS Filter Evasion Cheat Sheet，绝大多数的 XSS 方式，都是通过各个元素的 background-image 属性或者元素上的各种事件回调来实现;其中特别值得注意的是 SVG，由于 SVG 中可以写入任意 HTML，还可以加上 onload 事件，如果把 SVG 当成普通图片处理，直接作为网站内容使用，如果遇到恶意用户的话，后果不堪设想。所以在上线上传图片功能时，务必要把 SVG 过滤掉!

避免 XSS 的方法其实也很简单，只要在数据输入输出时做好字符转换，使恶意代码不被执行，而是被解析成字符就可以了。

CSRF

CSRF(跨站请求伪造)是一种利用 Cookie 及 Session 认证机制进行攻击的手段;由于 Session 认证的其实不是用户本人，而是浏览器，那么只要通过网页DOM 元素可以跨域的机制，对已经得到认证的网站发出请求，就可以假冒用户，从而拿到敏感信息。

例如某家银行的转账 API 的URL 是这样的：
 

栈指令集架构

1. 设计和实现更简单,适用于资源受限的系统;
2. 避开了寄存器的分配难题:使用零地址指令方式分配;
3. 指令流中的指令大部分是零地址指令,其执行过程依赖于操作栈,指令集更小,编译器容易实现;
4. 不需要硬件支持,可移植性更好,更好实现跨平台。

寄存器指令集架构

典型的应用是x86的二进制指令集:比如传统的PC以及Android的Davlik虚拟机。

指令集架构则完全依赖硬件,可移植性差。

性能优秀和执行更高效。

花费更少的指令去完成一项操作。

在大部分情况下,基于寄存器架构的指令集往往都以一地址指令、二地址指令和三地址指令为主,而基于栈式架构的指令集却是以零地址指令为主。

• Java符合典型的栈指令集架构特征，像Python、Go都属于这种架构。

（编辑：阜阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!