飘零的代码 piao2010 ’s blog

转载请保留版权，http:/piao2010.com  谢谢！

昨天实习的一个小任务，PHP在线字典，还是抓取远程数据的方式实现，与天气预报类似，不多说了，直接上代码！
read more »

转载请保留版权：http://www.piao2010.com 谢谢！

昨天接到公司新任务要做个天气预报查询网站，因为公司不可能直接获取天气相关数据，那就只能是抓取网络上的数据进行处理了，或者说直接跳转到某个网站的相应页面。后者处理起来简单，我这里用的是正则表达式来远程提取相关数据存入自己的数据库的方式实现。天气预报数据取自www.weather.com.cn

核心代码如下： read more »

转载请保留版权，http://piao2010.com 谢谢！ WP-ShortStat是一个不错的WordPress访问统计插件，可以在WordPress的管理界面中显示简单的访问统计信息。 发现这个漏洞其实很意外，今天早上打开博客shortstat的时候突然弹出窗口，应该是alert/xss/造成的。难道被黑了？查看了一下源文件，发现

<a title="/tags/xss/" rel="nofollow" href="http://www.google.cn/search?hl=zh-CN&amp;q=%3Cimg+src%3D%22%23%22+onerror%3Dalert%28%2Fxss%2F%29%3E&amp;btnG=Google+%E6%90%9C%E7%B4%A2&amp;aq=f&amp;oq="><img src="#" alt="" /></a>

，打开链接发现是有人在Google中搜索<img src=”#” alt=”" />

关键词然后进入我的博客， read more »

转载请保留版权：http://piao2010.com 谢谢！
最近在公司实习，第一个任务就是配置一个企业内部的邮件服务系统，要求同时支持WEB方式和smtp pop3 imap收发邮件。
经过一番Google对主流软件进行筛选之后我决定采用的软件如下：
POSTFIX Courier-imap,Courier-authlib,Cyrus SASL,Maildrop
webmail采用extmail 后台extman
垃圾邮件过滤和病毒防护采用Amavisd-new, ClamAV,spamassassin,slockd
因为之前没接触过邮件服务配置，而且对Linux也不算太熟悉，一直用的是FreeBSD,所以这个任务整整花了10天多的时间终于在三台虚拟机上安装测试成功并最终在服务器上实现，我测试的是CentOS和Fedora 系统，重要软件采用源码方式安装，基本上可以适用于其它平台。

测试地址：http://mail.piao2010.com 欢迎大家测试！

参考文章
http://waringid.blog.51cto.com/65148/58412
http://www.extmail.org/docs/extmail_solution_linux/
http://os.51cto.com/art/200710/57530_1.htm
http://www.postfix.org/SASL_README.html
《POSTFIX权威指南》等等
感谢以上作者的辛勤劳动

 
***************************************************

一切重新开始：(2009-7-18)

***************************************************

yum install ntp
ntpdate 210.72.145.44 && clock -w#无关操作，因为虚拟机的时间总是不准，所以同步一下时间。

vi /etc/sysconfig/selinux
禁用selinux
如果不想禁用也可以用下面的命令
setsebool httpd_disable_trans=1
setsebool mysqld_disable_trans=1
iptables相关设置
允许 25 110 80 端口

设置hostname
/etc/sysconfig/network
/etc/hosts read more »

这份论文只为教育目的。

我发现我的BLOGSPOT程序非常的糟糕 ，所有的提交都是非常的糟糕，于是我决心做一个好的版本。对不起,我的英语说的不是很好，我会继续努力的，OK，让我们开始这篇简短的文章，你是怎么认为看到一个上传的页面，我认为，也许每个人都会想这是一个非常不错的BUG。跨站上传是一个不错的主意，你也可以把文件重命名为 “File.php.jpg”。然而我们将要谈论的跨站就是在消息头中，存在这种漏洞的页面是高风险的。

关于HTTP消息头 : http://en.wikipedia.org/wiki/List_of_HTTP_headers

你要知道我们可以修改HTTP 头应答包，就像一个注射的例子（要理解这个或做一些测试，你需要下载并安装在FireFox Addon中搜索 ”Live HTTP Headers”）运行这个Addon当你输入Google.com回车后,如例子你将看到一些应答包数据，如下：

Host: google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

  read more »

如果后台应用接收到浏览器端的查询请求后，每次都与数据库连接读取数据，势必增加数据库的负担。而往往有大量的请求是重复的，我们可以把这些重复的信息采用缓存技术保存下来，重复使用，这样，在某些情况下可以大大提高程序的性能。 read more »

1.如果一个方法可静态化，就对它做静态声明。速率可提升至4倍。

2.echo 比 print 快。

3.使用echo的多重参数（译注：指用逗号而不是句点）代替字符串连接。

4.在执行for循环之前确定最大循环数，不要每循环一次都计算最大值。

5.注销那些不用的变量尤其是大数组，以便释放内存。 read more »

本文发表于《黑客防线》

作者：Kyran
译者：riusksk ( 泉哥 )

1.前言

XSS(Cross-Site Scripting )攻击主要有两种类型,一种叫永久型（persistent）,它存储在服务端,只不过需要用户访问存在漏洞的页面;另一种叫反射型 （reflective）,它存在URI中,需要用户点击链接才能触发。永久型XSS漏洞被认为更为危险，但反射型XSS漏洞更为普遍。大部分的 javascript worm都是使用永久型XSS漏洞进行攻击的。在“pseudo-reflective”蠕虫的第一版本诞生前，还没有一使用reflective payload 编写的XSS蠕虫的案例记载。本文将向您展示如何通过使用reflective payload来编写蠕虫以达到永久性传播的目的。 read more »