php可导致安全问题的一些函数

php可导致安全问题的一些函数如下:
exec,passthru,popen,proc_open,shell_exec,system,phpinfo,assert,chroot,getcwd,scandir,delete,rmdir,rename,chgrp,chown,copy,file,eval

phpweb开源程序涉及到文件权限检查,服务器需要留住rmdir,chown,copy,file函数才可以上传图片文件,或者去掉权限检查函数。
以上函数最好是禁用了,让服务器更安全一些。

修改php.ini下的disable_functions
disable_functions = exec,passthru,popen,proc_open,shell_exec,system,phpinfo,assert,chroot,getcwd,scandir,delete,rmdir,rename,chgrp,chown,copy,file,eval
 

2015北京最新租房攻略整理

在北京租房分为两种一种是中介收取一个月中介费和一个月的押金,另一种是代理公司不收中介费,不论怎么着都要坑一个月的房租钱,有种二房东到是可以,如果不毁约的情况下,会给退钱的。
几次租房后总结,租房要需要关注下面问题:
0.租房所在小区交通和生活是否便利;
1.阳台方位,朝南的窗户比较好;
2.屋子里是否有空调和暖气(是集体供暖还是烧天然气的);
3.屋子里是否有衣柜和电脑桌,椅子;
4.屋子里手机信号有没有问题;
5.公用设备是否有洗衣机,冰箱,热水器都;而且要检查下是否好用,有的住了以后才发现原来是坏的;
6.网速是多少的? 至少10M不然会被网速给气死;
7.是否可以做饭,方便检查最好检查下;
8.房子是主卧,次卧还是明隔,暗隔,主要看是隔断间还是实墙,实墙安全些;
9.检查大门,小门的锁是否好用,很多锁都是坏了的,丢了东西没的找;
10.合租的话,邻居都是做什么工作的?几家合租的,越少越好;
11.水电网费一般都是均摊,免物业费和暖气费;
暂时只能想到这些,后续想到再继续补充。

Linux与Win文件传输操作

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html下载pscp,将其放入windows的system32

dos下执行PSCP命令 OPTIONS如下:
-p?拷贝文件的时候保留源文件建立的时间。
-q?执行文件拷贝时,不显示任何提示消息。
-r?拷贝整个目录
-v?拷贝文件时,显示提示信息。

用法:
pscp?[选项]?[用户名@]主机:源文件?目标文件
pscp?[选项]?源文件?[源文件……]?[用户名@]主机
pscp?[选项]?-ls?用户名@主机:文件空间
例如:pscp root@127.0.0.1:/mysql/data/clear.sh d:/mysqldata 回车后输入密码即可下载。
#pscp -r root@103.253.140.190:/www.zip d:/
 

陪一个客户的经典聊天记录-很搞

iloveyou770602808 (23:37:43):
貌似网站又被入侵了?你看看是否打得开www.laowanzhixiao.com
刚才出现短暂2分钟无法访问
跳转错误
kaiyunlianhe (23:38:09):
我这里正常,可以打开。
iloveyou770602808 (23:38:20):
你看下是否有攻击记录?
iloveyou770602808 (23:38:27):
刚才2分钟我怎么打都打不开
现在我这边也正常了。
kaiyunlianhe (23:38:38):
http://www.laowanzhixiao.com/hacker.html
没有的。
iloveyou770602808 (23:40:21):
最晚到昨天晚上10:14分还有攻击
kaiyunlianhe (23:41:02):
嗯嗯
iloveyou770602808 (23:41:37):
这怎么弄呢?就一直让他这么攻击?
kaiyunlianhe (23:41:53):
是的,攻击程序会拦截的。
iloveyou770602808 (23:42:54):
刚刚又来了。
kaiyunlianhe (23:43:07):
那个是我弄的,我刚测试了下。
iloveyou770602808 (23:43:09):
这总攻击总攻击,这早晚不出问题?
kaiyunlianhe (23:43:43):
不会的。 恶意扫描了,注入了, 各种黑客 都会检测网站, 或者360检测的 了 什么的,都会拦截。
iloveyou770602808 (23:43:46):
早晚得出问题,这么看来。
那照你这么说,是一定不会有问题了?
kaiyunlianhe (23:44:11):
任何一个网站都可以提交注入参数的,都会有安全日志,百度也是有的。
iloveyou770602808 (23:44:11):
多牛X的黑客也没辙?
kaiyunlianhe (23:44:15):
不可能
来个cc,ddos 服务器所有网站都挂掉, 更何况一个小网站
iloveyou770602808 (23:44:41):
美国国防部网站都进得去,我这网站想起来太小KISS了吧
kaiyunlianhe (23:44:51):

iloveyou770602808 (23:45:14):
不理解。
CC DDOS攻击,我这网站就瘫痪了。?
kaiyunlianhe (23:45:41):
是的,你服务器上的所有网站都会挂掉。
iloveyou770602808 (23:45:59):
淘宝的站也挂?
百度的也挂?
kaiyunlianhe (23:46:09):
花的成本不一样。
看花多少钱买了多少服务器,什么配置,不在一个量级的,比不了。
iloveyou770602808 (23:46:49):
哦,这个攻击到底是怎么回事?你能举个例子说说不?
我的理解就是,我网站是小孩,黑客给的东西是好吃的,然后看小孩分辨能力,如果分的清楚,就不要东西,就没事。分不清楚,吃了,这个东西有毒,那小孩完蛋了,网站也完蛋了?
kaiyunlianhe (23:47:37):
就是给你拦截了呀。 要不就给你取消记录。 以后你就不用看记录了。。。总不能不让人访问吧。 要想彻底安全,不让提交参数,那就要重新开发程序了。
iloveyou770602808 (23:49:17):
我是说攻击,怎么攻击,举个听得懂的例子?网站怎么就打不开了?
kaiyunlianhe (23:49:35):
网站打不开了,这个要找IDC 是虚拟主机问题。
iloveyou770602808 (23:49:55):
不是,你像我上次的情况,不是被人入侵了?
kaiyunlianhe (23:50:02):
你可以花钱买第三方的服务,检测虚拟主机的稳定性,就可以随时看到是否可以打开。
iloveyou770602808 (23:50:07):
怎么就入侵了?
kaiyunlianhe (23:50:18):
不是,入侵了,是给你掺改页面,挂马了。
iloveyou770602808 (23:50:30):
对的,我可能没描述清楚。
说白了,就是我家进贼了。
kaiyunlianhe (23:50:51):

iloveyou770602808 (23:50:58):
怎么进来的?
你能大概举个例子不?
kaiyunlianhe (23:51:39):
就像马路一样,都是人,有好人有坏人。除非把路封死, 不然好人坏人区分不了,只能知道每个人的内心,有好的有坏的,把坏的拦截了。
iloveyou770602808 (23:52:14):
恩,你说的是网站维护方面的功能。
kaiyunlianhe (23:52:29):
别人入侵就是通过你程序漏洞,非法注入代码,控制你网站,给你做的安全是 把非法代码都拦截。
iloveyou770602808 (23:52:31):
就是他想入侵,不让入侵,拦截住了。
kaiyunlianhe (23:52:46):
是的。
iloveyou770602808 (23:53:27):
那这么说的话,没有100%的安全,所以的网站都有可能被入侵。
kaiyunlianhe (23:53:35):
是的
iloveyou770602808 (23:53:46):
因为你可以设置拦截代码,但是可以入侵你网站的代码有你知道的,有你不知道的。
知道的你可以设置拦截
不知道的,一样可以入侵网站的,照样可以入侵。
就看入侵这个人的技术了。
kaiyunlianhe (23:54:23):
你这么说也算是吧。 如果通过服务器漏洞,那服务器所有的网站都不安全。。。
iloveyou770602808 (23:54:40):
恩,意思我能理解。
中国都被小日子入侵了,哪个省市都是日占区,
kaiyunlianhe (23:55:07):
额。
iloveyou770602808 (23:55:29):
那这么说,既然你能维护网站安全,就能入侵网站了,我可以这么理解不?
kaiyunlianhe (23:56:03):
也不是。修复后,我也拿不了站的。
很厉害的黑客不会没事去弄普通网站。
iloveyou770602808 (23:56:21):
那你意思是,我的网站以你现在的技术都入侵不了?
kaiyunlianhe (23:56:27):
是的。
iloveyou770602808 (23:56:38):
那我怎么发现网站漏洞呢?
就去360扫描?
kaiyunlianhe (23:57:08):
嗯 也可以。
iloveyou770602808 (23:57:48):
大概理解了。

程序员的等级划分的一些想法

程序员怎么才算是厉害? 项目经理?架构师?程序员?
程序员分好几种,大部分在开始的时候基本就决定了自己的方向。C#,JAVA方向的,大部分都是在做企业级应用,因为大部分应用都是企业级的,企业级的离不开数据库,最终还是纠缠在数据库涉及上,但是不代表没有人用C#,java去实现一些算法。有几个人用C#或java去做应用不用数据库呢,几乎是没有的。有些小工具有用的,与其用C#和java不如选择Delphi最合适,无论是实现难度和时间都更胜一筹。C#,java 80%以上的人搞到最后发现其实是在搞业务,熟悉某个领域的业务模型设计,很宝贵的经验积累,所以这方面程序员是按行业项目经验积累和来决定未来的薪资和判定能力划分的。
还有另一部分程序员,某种意义上讲,这部分人才是真正搞技术的,因为前者是一般人都可以学会的,至于熟练运用只是需要时间而已,有些人快,有些人慢,但是如果C/C++,逆向的起点相对是较高的,同时所在领域也是不相关的,c/c++很多程序员可以不用数据库,比如Qt,Bcg,拿出一个知识点,学个几年时间都很难说的上是精通,这个在网上有很多的争议,到底是C#难,java难,还是c难,C++难。这毫无疑问是C/C++难,如果是C#和java比C/C++难的,去随便找个群里喊下。拿一个界面和一个Socket编写流程和效率,很明显的对比,就拿腾讯,360的客户端界面来讲,有没有用C#,java实现的,用PE工具查看下就晓得代码用什么编译的。c/c++往往应用于工业领域,因为安全方面与效率要求都是比较高的。反过来看小公司,除了工业级的,多少公司会选择c++去做应用,因为要求没有达到那么高,成本高,时间慢,这是弊端。这种人是按技术点去划分能力等级的。 一个8年Qt经验的,与一个8年mfc经验的相比,没有可比性,因为从事的太细。彼此都可以会,但是都有不同的擅长,c/c++也有设计到业务领域,很多方面是涉及的技术点与算法,同样一个自定义的算法用c++和c#去实现区别很明显。这部分人是真正搞技术的,很多知识都是最新的,不熟悉的情况下去学习新的技术点。
还有部分人是奇葩的逆向程序员,这部分人需要天赋和能力了,起点相对更高一些,当然薪资也是很夸张的,月薪20W+的也不足为怪。因为太少人能够从事这行业。
以上两部分程序员,同级水平下看学习难度,还是看薪资都是很明显的。最后在社会的价值体现也是很明显的,C#和java大部分都是企业级应用,而C/C++很多都是科研级项目。上述仅是个人观点,程序的世界像偏森林,各种奇葩的猿,敬佩每一位程序猿。
 
难度,薪资,价值体现

关于SOHO族的感慨

自2012年开始自己就是SOHO族了,虽然有时间不想承认,但是确实是如此的,有人羡慕SOHO族,有人觉得SOHO没有前途。2年多时间过去了,发现自己是一个综合性的SOHO,但是在某个点上不如很多行业的专业人才,2014年尝试下上班的感觉,上班的人很难转SOHO,SOHO在某种意义上很难转上班族,各有利弊。不论是工作还是SOHO族,都有比较有前景的,两条路同时走是不可能的,比较重要的是有自信和了解自己究竟有几斤几两,有些不属于自己的,花时间去做,未必会有理想的结果,去做一件小事情,反而会做的更好,但是也不是大事情不能去做。
百度百科对于SOHO族的解析:http://baike.baidu.com/item/soho?from_id=172056&type=syn&fromtitle=SOHO%E6%97%8F&fr=aladdin?看了觉得是高大上,很多SOHO族都转型为小公司了,而公司创业与所营业的产品结果也是差异很大的。唯一不可变的是SOHO是真心不容易,没有毅力,资金,人脉各种适应社会的能力,很难坚持下来。同时很多SOHO得到了很多,但是也失去了更多不为人知的事情。SOHO族处于不同阶段会做不同的工作,不同的烦恼,职业圈,朋友圈是必不可少的,这些积累会决定几年以后的发展。否则不如上班。
有人觉得SOHO族是因为比较自由,因为比较赚钱,各种想法,谁都想自由的赚钱,无拘无束。当你做到的时候会想失去了很多东西。但是也不能后悔,不能回头,要抬头挺胸走下去。因为有很多事情放不下,相信有一天总会有一个结果。
2014比较堕落了。在2015年必须要有一个结果,无论好与坏,选择了就走到底。想的再好也没用,行动证明一切吧。好久没写过博客了。找回年轻时的冲动,感谢身边的兄弟,虽然很多事不在身边,希望照顾好自己。未来还有更多的事情去一起做。总会有属于你的一片天地。迎接2015大家一起加油。