php社工库源码

⑴ 网络安全的内容是什么

网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。网络安全根据其本质的界定,应具有以下基本特征:(1)机密性。是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的各个层次上都有不同的机密性及相应的防范措施。在物理层,要保证系统实体不以电磁的方式向外泄露信息,在运行层面,要保障系统依据授权提供服务,使系统任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等;(2)完整性。是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性;(3)可用性。是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资料。在物理层,要保证信息系统在恶劣的工作环境下能正常进行。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。

⑵ 网站管理台被社工，网站源码全部删除，挂了一个黑页 在重做过程中，安装网站时出了一个问题 403

权限不足，重装系统

⑶ 网络安全学习的步骤是什么

同学们可以按照以下内容进行学习，老男孩教育网络安全学习路线：
1、基础篇：其中包含安全导论、安全法律法规、web安全与风险、攻防环境搭建、web应用程序技术、核心防御机制、HTML&JS、php编程等，让你对网络安全基础知识做一个初步了解。
2、渗透及源码审计：其中主要包含渗透测试概述、信息收集以及社工技巧、渗透测试工具使用、协议渗透、web渗透、系统渗透、中间件渗透、内网渗透、渗透测试报告编写、源码审计工具使用、PHP代码审计、web安全防御等。
3、等级与安全：定级备案、差距评估、规划设计、安全整改、等保测评、漏洞扫描、策略检查、日志审计、监控分析、行业巡检等。
4、风险评估：其中包含项目准备以及启动、资产识别、威胁识别、脆弱性识别、资产分析、威胁分析、脆弱性分析、综合风险分析、措施规划、报告输出、项目验收等。
5、ISO/IEC
27001：其中包含了项目准备、信息安全现状调研、资产识别以及风险评估、体系文件策划与编制、管理体系运行与实施、外部审核、知识转移、项目验收等。
6、应急响应：准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段等。

⑷ 如何对网站进行漏洞扫描及渗透测试

注册一个账号，看下上传点，等等之类的。

用google找下注入点，格式是

Site:XXX.com inurl:asp|php|aspx|jsp

最好不要带 www，因为不带的话可以检测二级域名。

大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制，而且够独立地检查你的网络策略，一起来看看网站入侵渗透测试的正确知识吧。

简单枚举一些渗透网站一些基本常见步骤：

一 、信息收集

要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等

二、收集目标站注册人邮箱

1.用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。4.社工找出社交账号，里面或许会找出管理员设置密码的习惯 。5.利用已有信息生成专用字典。6.观察管理员常逛哪些非大众性网站，看看有什么东西

三、判断出网站的CMS

1:查找网上已曝光的程序漏洞并对其渗透2:如果开源，还能下载相对应的源码进行代码审计。

3.搜索敏感文件、目录扫描

四、常见的网站服务器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

五、注入点及漏洞

1.手动测试查看有哪些漏洞

2.看其是否有注入点

3.使用工具及漏洞测试平台测试这个有哪些漏洞可利用

六、如何手工快速判断目标站是windows还是linux服务器？

Linux大小写敏感,windows大小写不敏感。

七、如何突破上传检测？

1、宽字符注入

2、hex编码绕过

3、检测绕过

4、截断绕过

八、若查看到编辑器

应查看编辑器的名称版本,然后搜索公开的漏洞

九、上传大马后访问乱码

浏览器中改编码。

十、审查上传点的元素

有些站点的上传文件类型的限制是在前端实现的，这时只要增加上传类型就能突破限制了。

扫目录，看编辑器和Fckeditor，看下敏感目录，有没有目录遍及，

查下是iis6,iis5.iis7，这些都有不同的利用方法

Iis6解析漏洞

Iis5远程溢出，

Iis7畸形解析

Phpmyadmin

万能密码:’or’='or’等等

等等。

每个站都有每个站的不同利用方法，自己渗透多点站可以多总结点经验。

还有用google扫后台都是可以的。

⑸ 入侵aspx站要用什么方法呢

1.无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！

2.asp（aspx）+MSsql先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；

3.asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；

4.php+MYSQL一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传图片文件或者写到log里；然后php程序某某未公开的漏洞，运气好可以直接写shell。

5.jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。

6.无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。

7.一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。

8.上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了.asp（当然.asa，.cer，.cdx都可以啦）目录的妙用。

9.php站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在server变量注入的时候还是可以select into outfile，今年我搞过某未开源cms就是这个情况，一般情况下为on就别考虑写文件了，不过有这个权限别忘了读文件源码，因为load_file的参数是可以编码的。

10.猜路径或者文件在入侵中非常必要，猜不到路径的时候别忘了google（太烂，google很全），于是你可以考虑看站点下的robot.txt或者robots.txt，会有惊喜。

11.工具的使用很重要，入侵之前用WVS扫扫会有助入侵；注入工具虽然很多，但不见得都好使，现在的软硬防火墙、防注入越来越厉害，那时候你就别偷懒，多手工有助你成长。

12.遇到过一流监控么，遇到其他防post的防火墙么，有时候一句话进去了都无法传大马，那时候，你先学学编码，学学变换绕过。

13.想搞一般的小站，记得查看这个小站的版权，找做这个站的公司，然后从这个公司做的其他站下手，得到源码再回头搞，我曾经通过这个方法拿下某知名制药的公司站。

14.旁注的思路永远不过时，遇到dbowner的注入，可以很舒服写shell到你需要的站，省得麻烦的提权了；运气不好，按部就班拿shell提权得到你所需。

15.永远别忘记社会工程学，利用社工把自己当成一个什么也不会的人，从某某站长的qq，身份证，邮箱等等下手，也许有时可能会有意外；另外别忘记admin,admin；test,test；123456,123456这种简单的尝试，当然，你也可以暴力破解。

16.别忽视XSS，别忽视cookie，XSS可以偷cookie，更有若干妙用，自己学会领悟；cookie可以伪造登陆，cookie可以注入，cookie注入可以绕绝大多数的防火墙。

17.平时搞站多多搜集路径啊，源码啊，工具啊，充实自己的“武器”库；最好把自己的入侵步骤记录下来，或者事后反思下，我一般都是记在txt里，另外要做到举一反三。

18.多学习，多看源码，多看公布出来的0day，脚本是入侵的前提，而不是工具，会用工具会装B你还没入门。

最后奉劝诸位有事没事改人家首页的装B者，出来混，迟早是要还的，别等进了局子再后悔。还有一点，就是我搞N多站，没挂过一个马，至于很多挂马的人，我不知道该说什么，因为大家都喜欢钱，但是还是少为之吧。

⑹ 网络安全专业学什么

课程有：

1、PKI技术：

本课程不仅适合于信息安全专业的学生专业学习，也适合金融、电信等行业IT人员及有关业务人员的学习。随着计算机安全技术的发展，PKI在国内外已得到广泛应用。它是开展电子商务、电子政务、网上银行、网上证券交易等不可缺少的安全基础设施。主要内容有，从PKI的概念及理论基础、PKI的体系结构、PKI的主要功能、PKI服务、PKI实施及标准化，以及基于PKI技术的典型应用，全面介绍PKI技术及其应用的相关知识。学生通过本课程的学习，能够了解PKI的发展趋势，并对其关键技术及相关知识有一定认识和掌握。

2、安全认证技术：

安全认证技术是网络信息安全的重要组成部分之一，同时也是信息安全专业高年级开设的专业课程，针对当前网络电子商务的广泛使用。主要学习验证被认证对象的属性来确认被认证对象是否真实有效的各种方法，主要内容有网络系统的安全威胁、数据加密技术、生物认证技术、消息认证技术、安全协议等，是PKI技术、数据加密、计算机网络安全、数据库安全等课程的综合应用，对于学生以后更好的理解信息安全机制和在该领域实践工作都打下了很好的基础作用。

3、安全扫描技术：

本课程系统介绍网络安全中的扫描技术，使学生全面理解安全扫描技术的原理与应用。深入了解网络安全、漏洞以及它们之间的关联，掌握端口扫描和操作系统指纹扫描的技术原理，懂得安全扫描器以及扫描技术的应用，了解反扫描技术和系统安全评估技术，把握扫描技术的发展趋势。

4、防火墙原理与技术：

本课程深入了解防火墙的核心技术，懂得防火墙的基本结构，掌握防火墙的工作原理，把握防火墙的基本概念，了解防火墙发展的新技术，熟悉国内外主流防火墙产品，了解防火墙的选型标准。

5、入侵检测技术：

掌握入侵检测的基本理论、基本方法和在整体网络安全防护中的应用，通过分析网络安全中入侵的手段与方法，找出相应的防范措施；深入理解入侵检测的重要性及其在安全防护中的地位。课程内容包括基本的网络安全知识、网络攻击的原理及实现、入侵检测技术的必要性、信息源的获取、入侵检测技术以及入侵检测系统的应用。

6、数据备份与灾难恢复：

本课程系统讲解数据存储技术、数据备份与灾难恢复的相关知识与实用技术，介绍数据备份与恢复的策略及解决方案、数据库系统与网络数据的备份与恢复，并对市场上的一些较成熟的技术和解决方案进行了分析比较。全面了解数据备份与恢复技术，掌握常用的数据备份和灾难恢复策略与解决方案，熟悉市场上的一些比较成熟的技术和解决方案。

7、数据库安全：

从基本知识入手，结合典型的系统学习，介绍数据库安全理论与技术，包括数据库安全需求，安全防范措施，安全策略，安全评估标准等等。

8、数据文件恢复技术：

本课程系统讲解数据存储技术、数据备份与灾难恢复的相关知识与实用技术，介绍数据备份与恢复的策略及解决方案、数据库系统与网络数据的备份与恢复，并对市场上的一些较成熟的技术和解决方案进行了分析比较。全面了解数据备份与恢复技术，掌握常用的数据备份和灾难恢复策略与解决方案，熟悉市场上的一些比较成熟的技术和解决方案。

9、算法设计与分析：

本课程首先介绍算法的一般概念和算法复杂性的分析方法，旨在使学生学会如何评价算法的好坏；接着重点介绍常用的算法设计技术及相应的经典算法，旨在帮助学生完成从“会编程序”到“编好程序”的角色转变，提高学生实际求解问题的能力。

要求学生在非数值计算的层面上，具备把实际问题抽象描述为数学模型的能力，同时能针对不同的问题对象设计有效的算法，用典型的方法来解决科学研究及实际应用中所遇到的问题。并且具备分析算法效率的能力，能够科学地评估有关算法和处理方法的效率。

(6)php社工库源码扩展阅读：

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次：

狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；

广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不在是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。

本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。

⑺ 我主要会c语言易语言。php。渗透。社工。拿站不知道可以找啥工作。好惆怅，求大家给个详细的职位，和

你是不是这些镜头？
c语言，懂fork()什么意思吗？

渗透，社工，是不是只会上网搜索目标的资料？
拿站？是不是只会用别人的脚本，程序？

如果关于上面的问题你的答案都是"是"，那你随便到电脑城问问，找个懂行的人，他一定会要你！

⑻ 如何用Solr搭建大数据查询平台

0×00 开头照例扯淡

自从各种脱裤门事件开始层出不穷，在下就学乖了，各个地方的密码全都改成不一样的，重要帐号的密码定期更换，生怕被人社出祖宗十八代的我，甚至开始用起了假名字，我给自己起一新网名地兴才地，这个看起来还不错的名字，其实是我们家乡骂人土话，意思是脑残人士…. -_-|||额好吧，反正是假的，不要在意这些细节。

这只是名，至于姓氏么，每个帐号的注册资料那里，照着百家姓上赵钱孙李周吴郑王的依次往下排，什么张兴才、李兴才、王兴才……于是也不知道我这样地兴才地了多久，终于有一天，我接到一个陌生电话：您好，请问是马兴才先生吗?

好么，该来的终于还是来了，于是按名索骥，得知某某网站我用了这个名字，然后通过各种途径找，果然，那破站被脱裤子了。
果断Down了那个裤子，然后就一发不可收拾，走上了收藏裤子的不归路，直到有一天，我发现收藏已经非常丰富了，粗略估计得好几十亿条数据，拍脑袋一想，这不能光收藏啊，我也搭个社工库用吧……

0×01 介绍

社工库怎么搭呢，这种海量数据的东西，并不是简单的用mysql建个库，然后做个php查询select * from sgk where username like ‘%xxxxx%’这样就能完事的，也不是某些幼稚骚年想的随便找个4g内存，amd双核的破电脑就可以带起来的，上面这样的语句和系统配置，真要用于社工库查询，查一条记录恐怕得半小时。好在这个问题早就被一种叫做全文搜索引擎的东西解决了，更好的消息是，全文搜索引擎大部分都是开源的，不需要花钱。

目前网上已经搭建好的社工库，大部分是mysql+coreseek+php架构，coreseek基于sphinx，是一款优秀的全文搜索引擎，但缺点是比较轻量级，一旦数据量过数亿，就会有些力不从心，并且搭建集群做分布式性能并不理想，如果要考虑以后数据量越来越大的情况，还是得用其他方案，为此我使用了solr。

Solr的基础是着名的Lucene框架，基于java，通过jdbc接口可以导入各种数据库和各种格式的数据，非常适合开发企业级的海量数据搜索平台，并且提供完善的solr cloud集群功能，更重要的是，solr的数据查询完全基于http，可以通过简单的post参数，返回json,xml,php,python,ruby,csv等多种格式。

以前的solr，本质上是一组servlet，必须放进Tomcat才能运行，从solr5开始，它已经自带了jetty，配置的好，完全可以独立使用，并且应付大量并发请求，具体的架构我们后面会讲到，现在先来进行solr的安装配置。

0×02 安装和配置

以下是我整个搭建和测试过程所用的硬件和软件平台，本文所有内容均在此平台上完成：

软件配置: solr5.5,mysql5.7,jdk8,Tomcat8 Windows10/Ubuntu14.04 LTS

硬件配置: i7 4770k,16G DDR3,2T西数黑盘

2.1 mysql数据库

Mysql数据库的安装和配置我这里不再赘述，只提一点，对于社工库这种查询任务远远多于插入和更新的应用来说，最好还是使用MyISAM引擎。
搭建好数据库后，新建一个库，名为newsgk，然后创建一个表命名为b41sgk,结构如下：

id bigint 主键 自动增长

username varchar 用户名

email varchar 邮箱

password varchar 密码

salt varchar 密码中的盐或者第二密码

ip varchar ip、住址、电话等其他资料

site varchar 数据库的来源站点

接下来就是把收集的各种裤子全部导入这个表了，这里推荐使用navicat，它可以支持各种格式的导入，具体过程相当的枯燥乏味,需要很多的耐心，这里就不再废话了，列位看官自己去搞就是了，目前我初步导入的数据量大约是10亿条。

2.2 Solr的搭建和配置

首先下载solr：
$ wget

解压缩：
$ tar zxvf solr-5.5.0.tgz

安装jdk8：
$ sudo add-apt-repository ppa:webupd8team/java
$ sudo apt-get update
$ sudo apt-get install oracle-java8-installer
$ sudo apt-get install oracle-java8-set-default

因为是java跨平台的，Windows下和linux下solr是同一个压缩包，windows下jdk的安装这里不再说明。

进入解压缩后的solr文件夹的bin目录，solr.cmd和solr分别是windows和linux下的启动脚本：

因为社工库是海量大数据，而jvm默认只使用512m的内存，这远远不够，所以我们需要修改，打开solr.in.sh文件，找到这一行：

SOLR_HEAP=地512m地

依据你的数据量，把它修改成更高，我这里改成4G，改完保存. 在windows下略有不同，需要修改solr.in.cmd文件中的这一行：

set SOLR_JAVA_MEM=-Xms512m -Xmx512m

同样把两个512m都修改成4G。

Solr的启动，重启和停止命令分别是：
$ ./solr start
$ ./solr restart –p 8983
$ ./solr stop –all

在linux下还可以通过install_solr_service.sh脚本把solr安装为服务，开机后台自动运行。

Solr安装完成，现在我们需要从mysql导入数据，导入前，我们需要先创建一个core，core是solr的特有概念，每个core是一个查询、数据,、索引等的集合体，你可以把它想象成一个独立数据库，我们创建一个新core：

在solr-5.5.0/server/solr子目录下面建立一个新文件夹，命名为solr_mysql，这个是core的名称，在下面创建两个子目录conf和data，把solr-5.5.0/solr-5.5.0/example/example-DIH/solr/db/conf下面的所有文件全部拷贝到我们创建的conf目录中.接下来的配置主要涉及到三个文件， solrconfig.xml， schema.xml和db-data-config.xml。

首先打开db-data-config.xml，修改为以下内容：
<dataConfig>
<dataSource name="sgk" type="JdbcDataSource" driver="com.mysql.jdbc.Driver" url="jdbc:mysql://127.0.0.1:3306/newsgk" user="root" password="password" batchSize="-1" />
<document name="mysgk">
<entity name="b41sgk" pk="id" query="select * from b41sgk">
<field column="id" name="id"/>
<field column="username" name="username"/>
<field column="email" name="email"/>
<field column="password" name="password"/>
<field column="salt" name="salt"/>
<field column="ip" name="ip"/>
<field column="site" name="site"/>
</entity>
</document>
</dataConfig>

这个文件是负责配置导入数据源的，请按照mysql实际的设置修改datasource的内容，下面entity的内容必须严格按照mysql中社工库表的结构填写，列名要和数据库中的完全一样。

然后打开solrconfig.xml，先找到这一段：
<schemaFactory class="ManagedIndexSchemaFactory">
<bool name="mutable">true</bool>
<str name="managedSchemaResourceName">managed-schema</str>
</schemaFactory>

把它全部注释掉，加上一行，改成这样：
<!-- <schemaFactory class="ManagedIndexSchemaFactory">
<bool name="mutable">true</bool>
<str name="managedSchemaResourceName">managed-schema</str>
</schemaFactory>-->
<schemaFactory class="ClassicIndexSchemaFactory"/>

这是因为solr5 以上默认使用managed-schema管理schema，需要更改为可以手动修改。

然后我们还需要关闭suggest，它提供搜索智能提示，在社工库中我们用不到这样的功能，重要的是，suggest会严重的拖慢solr的启动速度,在十几亿数据的情况下，开启suggest可能会导致solr启动加载core长达几个小时!

同样在solrconfig.xml中，找到这一段：

<searchComponent name="suggest" class="solr.SuggestComponent">
<lst name="suggester">
<str name="name">mySuggester</str>
<str name="lookupImpl">FuzzyLookupFactory</str> <!-- org.apache.solr.spelling.suggest.fst -->
<str name="dictionaryImpl">DocumentDictionaryFactory</str> <!-- org.apache.solr.spelling.suggest. -->
<str name="field">cat</str>
<str name="weightField">price</str>
<str name="suggestAnalyzerFieldType">string</str>
</lst>
</searchComponent>
<requestHandler name="/suggest" class="solr.SearchHandler" startup="lazy">
<lst name="defaults">
<str name="suggest">true</str>
<str name="suggest.count">10</str>
</lst>
<arr name="components">
<str>suggest</str>
</arr>
</requestHandler>

把这些全部删除，然后保存solrconfig.xml文件。

接下来把managed-schema拷贝一份，重命名为schema.xml (原文件不要删除)，打开并找到以下位置：

只保留_version_和_root_节点，然后把所有的field，dynamicField和Field全部删除，添加以下的部分：
<field name="id" type="int" indexed="true" stored="true" required="true" multiValued="false" />
<field name="username" type="text_ik" indexed="true" stored="true"/>
<field name="email" type="text_ik" indexed="true" stored="true"/>
<field name="password" type="text_general" indexed="true" stored="true"/>
<field name="salt" type="text_general" indexed="true" stored="true"/>
<field name="ip" type="text_general" indexed="true" stored="true"/>
<field name="site" type="text_general" indexed="true" stored="true"/>
<field name="keyword" type="text_ik" indexed="true" stored="false" multiValued="true"/>

<Field source="username" dest="keyword"/>
<Field source="email" dest="keyword"/>
<uniqueKey>id</uniqueKey>

这里的uniqueKey是配置文件中原有的，用来指定索引字段，必须保留。新建了一个字段名为keyword，它的用途是联合查询，即当需要同时以多个字段做关键字查询时，可以用这一个字段名代替，增加查询效率，下面的Field即用来指定复制哪些字段到keyword。注意keyword这样的字段，后面的multiValued属性必须为true。

username和email以及keyword这三个字段，用来检索查询关键字，它们的类型我们指定为text_ik，这是一个我们创造的类型，因为solr虽然内置中文分词，但效果并不好，我们需要添加IKAnalyzer中文分词引擎来查询中文。在下载IKAnalyzer for solr5的源码包，然后使用Maven编译，得到一个文件IKAnalyzer-5.0.jar，把它放入solr-5.5.0/server/solr-webapp/webapp/WEB-INF/lib目录中，然后在solrconfig.xml的fieldType部分加入以下内容：
<fieldType name="text_ik" class="solr.TextField">
<analyzer type="index" useSmart="false" class="org.wltea.analyzer.lucene.IKAnalyzer"/>
<analyzer type="query" useSmart="true" class="org.wltea.analyzer.lucene.IKAnalyzer"/>
</fieldType>

保存后，core的配置就算完成了，不过要导入mysql数据，我们还需要在mysql网站上下载mysql-connector-java-bin.jar库文件，连同solr-5.5.0/dist目录下面的solr-dataimporthandler-5.5.0.jar，solr-dataimporthandler-extras-5.5.0.jar两个文件，全部拷贝到solr-5.5.0/server/solr-webapp/webapp/WEB-INF/lib目录中，然后重启solr，就可以开始数据导入工作了。