对抓虾用户的特别提示: 30days 在抓虾阅读器上没有完全显示.

文章索引.

• (01.09) new 30 days(29): xss
• (01.08) new 30 days(28): security day 2 – system & network
• (01.07) new 30 days(27): security day 1 – php
• (01.06) new 30 days(26): apache
• (01.05) new 30 days(25): bookmarklet
• (01.04) new 30 days(24): javascript day 2
• (01.03) new 30 days(23): javascript day 1
• (01.02) new 30 days(22): php day 2
• (01.01) new 30 days(21): php day 1 – coding & functions
• (12.31) new 30 days(20): ajax day 2
• (12.30) new 30 days(19): ajax day 1
• (12.29) new 30 days(18): css day 2
• (12.28) new 30 days(17): css day 1
• (12.27) new 30 days(16): accessibility
• (12.26) new 30 days(15): forms
• (12.25) new 30 days(14): denormalization 反范式
• (12.24) new 30 days(13): Shell Scripting
• (12.23) new 30 days(12): mysql day 3 – tuning again…
• (12.22) new 30 days(11): mysql day 2 – tuning
• (12.21) new 30 days(10): dbm (Database Manager)
• (12.20) new 30 days(9): mysql day 1 – tools
• (12.19) new 30 days(8): scalability day 5 – 如何应对负载提纲
• (12.18) new 30 days(7): scalability day 4 – distributed filesystems
• (12.17) new 30 days(6): scalability day 3 – nicovideo.jp
• (12.16) new 30 days(5): webdesign – 网页宽度与屏幕宽度
• (12.15) new 30 days(4): scalability day 2 – load balancing
• (12.14) new 30 days(3): scalability day 1 – Flared & memcachedb
• (12.13) new 30 days(2): RSS
• (12.12) new 30 days(1): 卷首语
• (12.09) new 30 days(0): coming soon…

请给 new 30 days 打分:
(这里有一个投票页, 最好不要匿名 )
======
根据统计, 效果并未达到.
在卷首的预言 “收藏的东西看或是不看更是一个问题”.
真正认真看过的请在底下留个言, 并说明实际的收获情况.

快速的更新了这么多天之后, – 包括因为空间原因切换到 busylog.cn 所增加的重复文章.
应该暂停一下更新了, 本意, 这就是一场和 feedsky 的对抗.
–

过两天还要麻烦 35(GR) + 10(抓虾) = 45 位同学更换阅读方式.

系列好像并未终结, 以后会写些什么东西, 并没有想好.

偶要坐在旁边休息一下, 看看你会如何对待这些文章.
然后, 便是一个新的开始.

30 days 内容部分的最后一篇.
day 30 将对整个系列进行总结.

Cross Site Scripting. 简称 XSS, 可是为什么不是 CSS(Cascading Style Sheets)?
Cross Site Scripting (XSS) questions and answers

预防为主… 事实上,仅仅禁用 Javascript 仍然是不够的.
Greg Murray’s Blog: Preventing Cross Site Scripting Attacks

最值得去看的地方了…
XSS (Cross Site Scripting) Cheat Sheet

倒霉的受害者… 不过, 个人认为最受关注的程序的漏洞最容易被发现…
XSSed – XSS (cross-site scripting) information and vulnerable websites archive

什么浏览器会出什么样的 XSS 问题?
Cross site scripting support

网络和系统安全, 是一个无尽的话题.

在Windows下经常有插件,弹窗,恶意软件什么的东西.
(不过偶知道,能看见这篇文章的你,是不会遇上这类事情的…)

ARP 病毒也经常流行. dawnh 同学前端时间分析了 瑞星ARP防火墙

p2p 使宽带运营商的利益受损,
而通过限制一户多机,推送广告的方式赚取更多的利润.

不过如果小型局域网限制一下 p2p 偶还是不太反对的.
ipp2p 甚至能够一定程度控制 bitcomet (0.63 开始有协议加密)
Official IPP2P homepage

更为强大的过滤器, 如果你会抓包分析, 你可以写出详细的过滤条件.
Application Layer Packet Classifier for Linux

一份非常详细的Manual. 值得一看.
个人认为容易忽视的地方:
核心配置 – 关闭 modules.
文件系统权限
文件完整性检测
(freebsd mtree, gentoo equery check,
个人建议使用mtree对 chroot 目录, 及重要配置,可执行文件进行定期扫描.)
Securing Debian Manual

防治 ssh 攻击, 可以和官方站点共享攻击者数据, 防止其它机器被攻击.
对于经常攻击别人的黑客来说, 站点上还有状态展示, 可惜的是中国人有点多…
Welcome to DenyHosts

防止垃圾邮件. 早先讨论过相关问题.
The Spamhaus Project – SBL

iptables 不会怎么能行
Iptables Tutorial 1.2.2

数据过滤,过滤,再过滤,防止XSS 和 sql 注入,session也是个问题.
PHP Security Consortium: PHP Security Guide

检测php安全性的函数,类似phpinfo,提供安全的配置建议.
PHP Security Consortium: PHPSecInfo

不知道这个地方怎么行… 原来的hardening-php patch,现在的suhosin.
牺牲10%的性能,加倍的安全性能,你觉得值还是不值呢?
另外值得一提的就是 Month of PHP Bugs.
Hardened-PHP Project – PHP Security – Home

PHPSecInfo, PHP Security Guide的出处…
PHP Security Consortium

永远不要相信用户输入.
第6条, 可以考虑用file命令去检验一个文件,虽然很多时候不准.
第9条, 应该去使用socket去链接. 这样数据库的性能会进一步提高.
PHP MySQL Web Development Security Tips – 14 tips you should know about – PHP Forum

文章虽然没什么可说的, 底下的Further Reading可以看看.
Top 7 PHP Security Blunders

apache 没有集中在优化上.
想要更快的早就用nginx或者lighty了.
反而一大堆人不会写htaccess,也不会玩mod_rewrite.

这个偶已经写过了简化你的配置文件: apache module mod_macro.
相当简单有效的 module. 不过如果要无配置扩展,这个东西还是不行.
Apache 2.2 module mod_macro

用 htaccess 开启 mod_expires, mod_headers, 还有关于文件缓存的知识.
Speed Up Sites with htaccess Caching

如果要自己写, 可以参考这两个.
用 htaccess 实现许多有意思的功能.
the jackol’s den – htaccess Cheatsheet – Mikhail Esteves

不会写 htaccess, mod_rewrite 的要看过来.
实际例子
Learn Apache mod_rewrite: 13 Real-world Examples [Apache & IIS Configuration]
一个神奇的生成器
htaccess Generator
还有 cheatsheet.
mod_rewrite Cheat Sheet – Apache – ILoveJackDaniels.com

今天玩玩工具栏上的 bookmarklet, 因为阅读器限制等原因还是移步观看吧.
firefox 2 测试通过.

Read the rest of this entry »

Unobtrusive Javascript, ajax, html … 做到,益处会很多.
The seven rules of unobtrusive JavaScript

旁边还有这样一篇东西: Unobtrusive JavaScript: To Be or Not To Be

检测键盘事件是比较有用的. 这里有一个总结.
对于中文的输入法问题, 偶这里就不想提了, 只能推荐去抄现成的?
JavaScript Madness: Keyboard Events

以下是 3 篇来自于 quirksmode.org 的总结.
JavaScript – Cookies
中间插一句, doctype 的不同, 至少在 firefox 下是会有区别的.
Javascript – document.body and doctype switching
JavaScript – Cross window scripting

关于 window.load 的一些研究和讨论.
Peter’s Blog – The window.onload problem (still)

另外补一句, DOM 当然是解决 onload 问题的最佳方案.
Geek Daily – Blog Archive – JavaScript – window.onload Is Bad M’kay

day 19 的时候有说一行的神奇优化, 今天又是一个.
看不明白不要紧, 简单一句话:

/*@cc_on _d=document;eval('var document=_d')@*/

一行で IE の JavaScript を高速化する方法

又是一个通过几行代码解决效率问题的范例, 这个主要对 Firefox 有效.
判断仍然基于 @cc_on.
When innerHTML isn’t Fast Enough

又是一堆又一堆的 Tips. 相信多数人没达到 Guru 的水平
JavaScript Tips for Novices, Acolytes, and Gurus

写好代码的同时还要短一点, 当然并不是越短越好,
短不一定好读,但好读的一定会短.
优良的算法也应该是短代码的保证吧.
6 PHP coding tips to write less code

各式各样的代码规范见多了. 你遵守了多少? 违反了多少?
PHP coding guidelines

根据c++ coding standard 写成的php coding standard.
php5 的 OOP 方面有了很大进步, 这一点文章中没有提到, 因为长期没有更新了…
还有关于HTTP_*_VARS也没更新,仍不失为好材料..
PHP Coding Standard

写出什么样的代码,就应该得到相应的报酬.
毋庸置疑,同时注意到安全,性能,扩展,易读… 的代码肯定是好代码.
前期的付出,后面的维护就会轻松许多吧.
SitePoint Blogs – Good and Bad PHP Code

许多有意思的东西已经有无数人做过了,
不要重新制造轮子, 多数情况下都能在这里找到.
偶自己最成功的利用就是一个(无须extension的) zip 解压器,
也因为有这样一个地方,许多项目(比如论坛)公然违反GPL,
当然了,开源对他们只是一个推进商业的行为.
Welcome to the PHP Classes Repository – PHP Classes

基本上这些篇都是函数的对比.但同样是对比,或多或少都还是有不同的.

1 call_user_func 慢.
2 类的magic method全都慢.
3 通过类的读取慢
4 Iterators 慢
Benchmarking magic | GarfieldTech

这个就更清晰了.
自己去慢慢比较,偶并不想说什么.
BlueShoes: PHP Benchmark

虽然许多hacks并不常用,还是看一看?
40 Tips for optimizing your php Code

事实上这是篇再老不过的东西了. 个人认为不如上一篇,虽然这是从 presentation 中提取的.
12 PHP optimization tips – alex.moskalyuk

一组幻灯片, 有点包罗万象的感觉, 不过真正实际做的时候还是有区别的.
Accelerating PHP Applications

函数比较, 这些和上面的某些一样就像是细节性的东西.
开发完了没bug了再去试试吧.
比较列表:
sizeof vs count
is_int vs is_integer
chop vs rtrim
doubleval vs floatval
fwrite vs fputs
implode vs join
ini_alter vs ini_set
7 tips for lightning fast PHP sites
Updated: Better Benchmarks