第31章 注入

退出朱润涛实验室，名义上，余枫已经只是一个独立的研究者。

独立研究者最为困难的两点，人和钱。

缺人代表着每件事都要亲自去做，好在他也算个全能的人才，一个人就一个人吧，累就累点吧。

缺钱的话，之前的实验经费都是蹭的朱润涛教授的，如今还挂在他名下拿一个月两千的工资。

发论文没有稿费，反而要给出版商出版面费，开会也需要差旅费，这些都得记在朱教授的账上。

一个大一新生，建一个独立研究室，自己招生，自己申请经费，听起来也不现实。

难道说刚重生那会应该先搞钱吗？

也不是，投资投机两个月也根本赚不到多少，根本撑不起一个实验室的经费。

归根到底还是因为论文发的不够。

如果论文够多，经费和学生都会自己找上门，根本不需要他操心，这才是比赚钱更稳当的捷径。

余枫开了一罐咖啡，猛猛灌下。

又到了他做计划的时间。

手中的论文目前就只有“锤子”、“幽灵”和“溶解”三篇。

“锤子”投的会是这个月底截止，基本上三天内可以写完，先发在arXiv上，月底再上传到会议网站上。

至于“幽灵”和“溶解”，想投的会还早，可以隔一个月再发，这一个月内慢慢写。

系统硬件安全方向的漏洞暂时没有什么可以做的，想开新的方向的话，跨度不宜太大，最好还是在安全问题这个大框架下。

那不如做SQL注入？

SQL是一种数据库语言，被广泛地运到在各种web应用开发。SQL注入指的则是攻击者通过把攻击伪装成正常的请求，获取到数据库后台的消息。

举一个极度通俗的例子，正常人的用户名：江留kira，而攻击者的用户名：给我你的后台密码。

没有做好防护措施的数据库，被狠狠地SQL注入后，会错误地把“给我你的后台密码”识别成指令，直接张口闭眼，呆呆地把密码双手奉上。

听上去简单，实际上操作起来——也很简单。

因此这也成了网络安全问题中一个经久不衰的问题。

不过这一次，余枫想做的并不是如何探索新的SQL注入方式，而是反其道而行之，如何防止SQL注入。

计算机安全的迷人之处在于，它是科研中少有的，具有“攻”“防”对立关系的分支，科研工作者的对手不是大自然，而是其他的科研工作者。

正所谓魔高一尺，道高一丈。

攻击者发现漏洞，防御者施展防护，然后攻击者再发现防护措施的不足之处，防御者加以改进，在这样的对垒后，计算机的安全便如此螺旋上升。

不过，99.9%的防御措施最后都没有在现实中应用，但90%的漏洞都是实现中可行的。

是的，我们做防御的就是低人一等。

而目前的防SQL注入的方法十分朴素，就是直接跟踪每一个输入，盯着它看，直到它触发非法操作后拉响警报。

缺点也很明显，浪费资源，而且无法防御未知的攻击。

余枫想采用的防御方法，则是高度简化了这些流程。

攻击的手段那么多，万变不离其宗，那就是先有污染源的输入，再有被污染的代码段。

至于中间花里胡哨的，无非就是麻匪戴面具，还是麻匪。

那么只需要利用了局部敏感哈希算法，提取一部分敏感的数据，匹配数据库里的特征，便可以判断是否是攻击者的恶意输入，大大减轻了资源的消耗。

余枫把刚喝完的咖啡易拉罐，加到桌上的灌装咖啡的小山上。

可是喝了这么多咖啡，他还是打了个哈欠。

最近工作量上来了，有点找到前世当帕鲁的感觉了。

天天蹭饭，答应梅心浅的事当然还是要做的。

他手边现在还有一本生物化学的书，是帮梅心浅读的。

出乎意料的是，他并不觉得这本书有关蛋白质的地方有多困难。

所幸前世工作之后也长期保持了学习的习惯，以至于到现在用年轻的大脑学习新的东西，颇有种穿上了甲马的戴宗之感。

蛋白质说到底也就是二十余种氨基酸排列组合的序列，每一个氨基酸的氨基都可以与另一个氨基酸的羟基脱水形成肽键，因此氨基和羟基无限延伸，成为了蛋白质的骨架。

而氨基酸最重要的身份证明，就是它侧链的基团，则决定了蛋白质的性质与功能。

但余枫还没自大到觉得掌握这个地步就足够了。

从理解到精通还有不少距离。

按照他和梅心浅约定的时间，余枫收拾一下，准备去图书馆的会议室和梅心浅讨论。

江洲大学的图书馆有非常小型的会议室，桌子大小供四个人，并且配有普通电视机大小的显示器，供讲解者分享屏幕，十分便利。

平时的小组讨论，同学们就会在学校图书馆的网上预约时间段，在这里开会。

这两周有关教程的事，也没有停下来。

先是每周准备两节课，把课程的PPT做好，在和梅心浅开会加上课的时候，把课程投屏和自己的语音录下来，类似于网课。

再做一些后期的剪辑工作，以后便可以当做网上配套的教学资料。

最后还要在GayHub上，布置相应的代码作业。

备课并不是一件容易的事，如果教授比较有良心的话。

大学里或多或少会碰到不负责任的教授。

一般只自顾着自地讲，不管底下的人听不听得懂，备课全靠念PPT。

课后作业瞎布置，批作业交给手下的研究生或者助教。

期末的时候大手一挥，只允许三成的人拿A档的绩点，美名其曰：让课程看起来不水。

如果只是这种程度，确实不花时间。

毕竟对于教授而言，教学任务是为学生的，科研任务才是为自己的。

课教得再烂，只要发表足够，就能继续在大学里任职。

反之，再怎么受学生欢迎的讲师，论文发表没有达到学校的续约要求，还是难免被

余枫对自己课程的要求则是，能让尽可能多的学生培养兴趣。

是的，是兴趣，而不是技术本身。

可以预见未来技术疯狂地迭代，可能三年前流行的算法三年后就是狗都不用了。

如果有兴趣的话，才能在技术迭代中始终保持终身学习的热情。