君心似兰草,秋水作文章

在这个光怪陆离的人间,没有谁可以将日子过得行云流水。但我始终相信,走过平湖烟雨,岁月山河,那些历尽劫数、尝遍百味的人,会更加生动而干净。时间永远是旁观者,所有的过程和结果,都需要我们自己承担。 ——白落梅 《因为懂得所以慈悲:张爱玲的倾城往事》

Published
Categorized as Life

台风 台风 灿鸿来了

最近接连三个台风在太平洋共舞之后,开始分头向广东、福建进军了,灿鸿、莲花、浪卡这些名字都很有特色,还有之前听到的海燕、蔷薇之类的,就在网上搜了一下,发现台风的命名很有意思。 据专家介绍,西北太平洋地区是世界上台风(热带风暴)活动最频繁的地区,每年登陆我国就有六、七个之多。多年来,有关国家和地区对出没这里的热带风暴叫法不一,同一台风往往有几个称呼。我国按其发生的区域和时间先后进行四码编号,前两位为年份,后两位为顺序号。设在日本东京的世界气象组织属下的亚太区域专业气象台的台风中心,则以进入东经180度、赤道以北的先后顺序编号。美国关岛海军联合台风警报中心则用英美国家的人名命名,国际传媒在报道中也常用关岛的命名。还有一些国家或地区对影响本区的台风自行取名。为了避免名称混乱,有关国家和地区举行专门会议决定,凡是活跃在西北太平洋地区的台风(热带风暴),从去年起一律使用亚太14个国家(地区)共同认可、具有亚太区域特色的一套新名称,以便于各国人民防台抗灾、加强国际区域合作。 每个国家提供10个,台风委员会命名表共有140个名字,分别由亚太地区的柬埔寨、中国、朝鲜、中国香港、日本、老挝、澳门、马来西亚、密克罗尼西亚联邦、菲律宾、韩国、泰国、美国和越南提供。从头轮到尾,用完了再从头开始。 台风委员会命名表将用于通过国际媒体以及向国际航空和航海界发布的预报、警报和公报中,也供各成员用当地语言发布热带气旋警报时使用。这将有助于人们对逐渐接近的热带气旋提高警觉,增加警报的效用。台风委员会仍将继续使用热带气旋编号。 为避免一名多译造成的不必要的混乱,中国中央气象台和香港天文台、澳门地球物理暨气象台经过协商,已确定了一套统一的中文译名。从2000年l月1日起,中央气象台发布热带气旋警报时,除继续使用热带气旋编号外,还将使用热带气旋名字。如2000年的第1号热带气旋名字为“达维”,由柬埔寨提供。 而2012年第10号台风也叫”达维”,因为从2000年开始,140个名字已经用完了,所以从头开始。2013年龙王名字最后改成了海葵。 附命名表: 序号 英文名 中文名 名字来源 意 义 1-1 Damrey 达维 柬埔寨 大象 1-2 Longwang 龙王 中国 神话传说中的司雨之神 1-3 Kirogi 鸿雁 朝鲜 一种侯鸟,在朝鲜秋来春去 1-4 Kai-tak 启德 中国香港 香港旧机场名 1-5 Tembin 天秤 日本 天秤星座 1-6 Bolaven 布拉万 老挝 高地 1-7 Chanchu 珍珠 中国澳门 珍珠 1-8 Jelawat 杰拉华 马来西亚 一种淡水鱼 1-9 Ewiniar… Continue reading 台风 台风 灿鸿来了

除了股票,我们还有诗和远方

  2015/7/15补:第二幅图拍摄于2011年毕业西线游路上,当时路过比较急,没怎么看内容,今天google后发现还是有些意思,淘金时代很多开拓者倒在这个路上, Grave of the Unknown Prospector On To The Golden Hills — RIP — On this site is the grave of the unknown prospector. A reminder of the great sacrifices made by our ancestors, who explored and settled the western frontier, and especially to the memory of each and all of the pioneers of… Continue reading 除了股票,我们还有诗和远方

Published
Categorized as Life

PHP开发安全问题总结

php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介 当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等。 安全保护一般性要点 不相信表单 对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入 不相信用户 要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理 关闭全局变量 在php.ini文件中进行以下配置: register_globals = Off 如果这个配置选项打开之后,会出现很大的安全隐患。例如有一个process.php的脚本文件,会将接收到的数据插入到数据库,接收用户输入数据的表单可能如下: <input name="username" type="text" size="15" maxlength="64"> 这样,当提交数据到process.php之后,php会注册一个$username变量,将这个变量数据提交到process.php,同时对于任何POST或GET请求参数,都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题: <?php // Define $authorized = true only if user is authenticated if (authenticated_user()) { $authorized = true; } ?> 此处,假设authenticated_user函数就是判断$authorized变量的值,如果开启了register_globals配置,那么任何用户都可以发送一个请求,来设置$authorized变量的值为任意值从而就能绕过这个验证。 所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取,包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等,其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量,默认的顺序是$_COOKIE、$_POST、$_GET。 推荐的安全配置选项 error_reporting设置为Off:不要暴露错误信息给用户,开发的时候可以设置为ON safe_mode设置为Off register_globals设置为Off 将以下函数禁用:system、exec、passthru、shell_exec、proc_open、popen open_basedir设置为 /tmp ,这样可以让session信息有存储权限,同时设置单独的网站根目录 expose_php设置为Off allow_url_fopen设置为Off allow_url_include设置为Off SQL注入攻击 对于操作数据库的SQL语句,需要特别注意安全性,因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子: $sql… Continue reading PHP开发安全问题总结