news.nsysu.edu.tw 關閉

Golang 將改變常見的 closure 地雷

在「Fixing for loops in Go 1.22 (go.dev)」看到的，原文在「Fixing For Loops in Go 1.22」這邊。

算是各種有 closure 的程式語言會遇到的經典問題，下面的 Golang 程式在撰寫時會預期輸出 a、b、c (不保證順序)，但實際上會輸出 c、c、c，因為變數的 scope 設計原因：

func main() {
    done := make(chan bool)

    values := []string{"a", "b", "c"}
    for _, v := range values {
        go func() {
            fmt.Println(v)
            done <- true
        }()
    }

    // wait for all goroutines to complete before exiting
    for _ = range values {
        <-done
    }
}

這在 JavaScript 也是個經典的問題，搜「javascript closure loop」就可以看到「JavaScript closure inside loops – simple practical example」這個例子，對應的答案則是有提到 ES6 的 let 因為改變了變數的 scope，可以用來解決這個問題。

剛好 let 也是 best practice 了，所以現在 JavaScript 這邊遇到這個問題的情況會少一些。

回到 Golang 這邊，Golang 是打算改變在 for loop 時，對應變數的 scope 來解決：

For Go 1.22, we plan to change for loops to make these variables have per-iteration scope instead of per-loop scope. This change will fix the examples above, so that they are no longer buggy Go programs; it will end the production problems caused by such mistakes; and it will remove the need for imprecise tools that prompt users to make unnecessary changes to their code.

另外因為這是 breaking compatibility 的改變 (畢竟有些程式碼是清楚知道這個特性而刻意這樣寫的)，所以會有對應的措施，只有在有指定 Golang 1.22 或是更新的版本才會用新的 scope 編譯：

To ensure backwards compatibility with existing code, the new semantics will only apply in packages contained in modules that declare go 1.22 or later in their go.mod files. This per-module decision provides developer control of a gradual update to the new semantics throughout a codebase. It is also possible to use //go:build lines to control the decision on a per-file basis.

PHP 8.2 預計要將一些字串內指定變數的方法標為 Deprecated，在 9.0 移除

Twitter 上看到這個蠻大的改變：

New #PHP Implemented PHP 8.2 RFC: Deprecate ${} string interpolation https://t.co/KDop21MTiV

— PHP RFC Bot (@PHPRFCBot) May 5, 2022

裡面的連結是「PHP RFC: Deprecate ${} string interpolation」，在文件中提到了 PHP 語言支援的四種字串內指定變數的方式：

Directly embedding variables (“$foo”)
Braces outside the variable (“{$foo}”)
Braces after the dollar sign (“${foo}”)
Variable variables (“${expr}”, equivalent to (string) ${expr})

提案在 PHP 8.2 裡將 3 與 4 兩種方式標為 deprecated，並且在 PHP 9.0 移除，目前看起來是 31:1 通過了...

產生名次的 SQL

在 Percona 的「Generating Numeric Sequences in MySQL」這篇在討論產生字串序列，主要是在 MySQL 環境下，裡面看到的技巧「Session Variable Increment Within a SELECT」這組，剛好可以用在要在每個 row 裡面增加名次：

SELECT (@val := @val + 1) - 1 AS value FROM t1, (SELECT @val := 0) AS tt;

另外看到 MariaDB 與 MySQL 8.0 系列因為有多支援各種功能，剛好也可以被拿來用，然後最後也提到了 Percona 自家出的 MySQL 8.0.20-11 將會直接有 SEQUENCE_TABLE() 可以用 (這應該才是 Percona 這篇文章的主要目的，推銷一下自家產品的新功能)。

文章收起來之後遇到可以拿出來參考用...

第一堂：Course overview + the shell

這個系列是從『MIT 的「The Missing Semester of Your CS Education」』這邊延伸出來的，這篇文章講第一堂課「Course overview + the shell」。

前面大概講一下這 11 堂各一個小時的課大概是什麼，後面就開始講 shell 下的操作了。

先講了一些基本指令 (date & echo)，然後提到了環境變數 $PATH，接著就講目錄結構與 ls，然後就順便提到 man 可以拿來查說明，接著是講 redirect 與 pipe 以及 root 權限的特殊性 (以及 sudo)。

在課程最後面的這個範例，你第一眼看不會想到是第一堂課就可以教完的東西，但的確是結合了上面提到的所有東西，可以細細品味一下：

$ echo 1 | sudo tee /sys/class/leds/input6::scrolllock/brightness

Python 上取代「printf 大法」的工具

「printf 大法」大概是最早期學到的 debug 方式？不同語言有不同的指令，在 Python 裡對應的是 print 指令 (加上 % 或是 .format())。

剛剛看到「cool-RR/pysnooper」這個 Python 上的工具，只要增加 @pysnooper.snoop() 這組 decorator，就可以自動幫你把變數的值印出來。網站上的範例是這樣，可以看到就只是加了一行 decorator：

import pysnooper

@pysnooper.snoop()
def number_to_bits(number):
    if number:
        bits = []
        while number:
            number, remainder = divmod(number, 2)
            bits.insert(0, remainder)
        return bits
    else:
        return [0]

number_to_bits(6)

然後對應的 stderr 就有滿滿的資訊可以看：

Starting var:.. number = 6
21:14:32.099769 call         3 @pysnooper.snoop()
21:14:32.099769 line         5     if number:
21:14:32.099769 line         6         bits = []
New var:....... bits = []
21:14:32.099769 line         7         while number:
21:14:32.099769 line         8             number, remainder = divmod(number, 2)
New var:....... remainder = 0
Modified var:.. number = 3
21:14:32.099769 line         9             bits.insert(0, remainder)
Modified var:.. bits = [0]
21:14:32.099769 line         7         while number:
21:14:32.099769 line         8             number, remainder = divmod(number, 2)
Modified var:.. number = 1
Modified var:.. remainder = 1
21:14:32.099769 line         9             bits.insert(0, remainder)
Modified var:.. bits = [1, 0]
21:14:32.099769 line         7         while number:
21:14:32.099769 line         8             number, remainder = divmod(number, 2)
Modified var:.. number = 0
21:14:32.099769 line         9             bits.insert(0, remainder)
Modified var:.. bits = [1, 1, 0]
21:14:32.099769 line         7         while number:
21:14:32.099769 line        10         return bits
21:14:32.099769 return      10         return bits

另外還可以寫到檔案裡、允許的深度，或是值接指定要哪些變數，另外輸出時也可以指定 prefix 避免混淆 (通常會用在 stderr 不只有 pysnooper 在輸出時)。

Rackspace Cloud Support 的出包信...

不知道是不是各種網站註冊的比較少，好像有陣子沒看到這種出包信了... 都是 template variable XDDD

CGI 程式與 LD_PRELOAD...

在「elttam - Remote LD_PRELOAD Exploitation」這邊看到的技巧，記得以前有被提過 (還有 IFS 變數被拿來玩)，但這幾年純 CGI 程式比較少了 (像是 nginx 不支援 CGI)，所以有種新鮮感... (雖然不是新東西 XD)

這次中獎的是 GoAhead 這套 web server，被發 CVE-2017-17562，然後作者用 Shodan 翻了一下，Internet 上有不少肉雞可以玩：

當年 CGI 架構的餘孽 XDDD

用統計方法反推 JavaScript 壓縮程式的變數名稱

JavaScript 在正式提供服務時一般都會使用「YUI Compressor」、「UglifyJS」或是「Closure Compiler」壓縮後再拿到正式環境上使用，最主要的目的是為了降低網路傳輸量。

這些工具其中一個特點是，local function 與 local variable 會被較短的名字取代掉，這可以讓想要反組譯的人比較麻煩。

不過今天看到的這個工具可以解決「困擾」：「JSNice」。(在 Slashdot 上的「Machine Learning Used For JavaScript Code De-obfuscation」這篇看到的)

用統計方法去「猜測」這些 local function 與 local variable 應該叫什麼名字，讓人比較好理解。官方對準確度的說法是超過 60%：

In our experiments, we found JSNice to be effective for deobfuscating minified code. On average, more than 60% of the identifiers are recovered to the same name as before the minification process.

接下來會想辦法提供 UI 讓使用者可以選擇另外的名字：

Further, as JSNice computes multiple ranked suggestions, we provide a UI to navigate through these suggestions and select alternative identifier names.

先記錄起來，這網站很有趣，之後要 trace 別人的程式碼應該常常會用到 XDDD

Firefox 將可以在 CSS 內使用變數...

Firefox 將在 29 版支援 CSS 變數 (現在是 26 版)：「CSS Variables in Firefox Nightly」。標準是出自 W3C 的「CSS Custom Properties for Cascading Variables Module Level 1」(在寫這篇文章時還是 draft)。

程式碼會長這樣：(直接引用比較複雜的程式碼)

:root {
  var-companyblue: #369;
  var-lighterblue: powderblue;
  var-largemargin: 20px;  
  var-smallmargin: calc(var(largemargin) / 2);
  var-borderstyle: 5px solid #000;
  var-headersize: 24px;
}
.partnerbadge {
  var-companyblue: #036;
  var-lighterblue: #369;
  var-headersize: calc(var(headersize)/2);
  transition: 0.5s;
}
 
@media (max-width: 400px) {
  .partnerbadge {
     var-borderstyle: none;  
     background: #eee;
  }
}
 
/* Applying the variables */
body {font-family: 'open sans', sans-serif;}
 
h1 {
  color: var(companyblue);
  margin: var(largemargin) 0;
  font-size: var(headersize);
}
h2 {
  color: var(lighterblue);
  margin: var(smallmargin) 0;
  font-size: calc(var(headersize) - 5px);
}
 
.partnerbadge {
  padding: var(smallmargin) 10px;
  border: var(borderstyle);
}

本來用 Sass/SCSS 做的事情就可以把計算這部份推到 browser 上處理...

MySQL 5.5 與 5.6 的預設值差異...

在 Oracle 放出 MySQL 5.6 後，Percona 將 MySQL 5.5 與 5.6 設定值的差異整理列出來：「MySQL 5.5 and 5.6 default variable values differences」。

因為這是直接 dump 系統設定值比較，理論上所有「可以設定的值」都可以透過這個方法找出差異，不是靠設定值的改變就沒辦法了...

文章後面有對作者覺得比較需要講的部份提出來。其中 innodb_file_per_table 終於變成預設值了 XD

先繼續觀望...