webfuns--趣味互联网

DNS预获取（dns-prefetch）

tomheng — Mon, 16 Jan 2012 14:02:08 +0000

今天翻看twitter的源码的时候看到了一下内容：

查阅了相关资料，知道DNS Prefetch也就是DNS预获取，也是前段优化的一部分。在前段优化中关于DNS的有两点：一是减少DNS的请求次数，第二个就是进行DNS预先获取。

DNS Prefetch 已经被下面的浏览器支持

Firefox: 3.5+
Chrome: Supported
Safari 5+
Opera: Unknown
IE: 9 (called “Pre-resolution” on blogs.msdn.com)

默认情况下浏览器会对页面中和当前域名（正在浏览网页的域名）不在同一个域的域名进行预获取，并且缓存结果，这就是隐式的DNS Prefetch。如果想对页面中没有出现的域进行预获取，那么就要使用显示的DNS　Prefetch了，也就是使用link标签：

DNS Prefetch应该尽量的放在网页的前面，推荐放在后面。

PS:可以通过下面的标签禁止隐式的DNS Prefetch。

内容整理自：DNS-Prefetching

参考：
网站优化应重视 DNS 预获取(DNS Prefetching)

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

如何设置一个严格30分钟过期的Session

tomheng — Tue, 10 Jan 2012 15:35:45 +0000

问题是Laruence在微博上提出的:

我在面试的时候, 经常会问一个问题: “如何设置一个30分钟过期的Session?”, 大家不要觉得看似简单, 这里面包含的知识多着呢, 特别适合考察基本功是否扎实, 谁来回答试试? 呵呵

说实话，如果是面试我的话，我回答不好。我找了一下stackoverflow发现有人讨论过同样的问题，How do I expire a PHP session after 30 minutes?，看了一下Gumbo回复应该是最好的。过了不久Laruence也整理了一篇文章，讲的更全面一些。 Gumbo说的对，要回到好这个问题只要弄清楚session.gc_maxlifetime和session.cookie_lifetime这两个配置的原理就可以了。 session.gc_maxlifetime这个时间是指的Session过多少时间会被session GC回收。这里需要主要以下几点

GC启动本身是有概率的（ session.gc_probability和session.gc_divisor）
不同的脚本具有不同的 session.gc_maxlifetime 数值但是共享了同一个地方存储会话数据，则具有最小数值的脚本会清理数据。此情况下，与 session.save_path 一起使用本指令
GC和这个时间比较的时候是用的sesssion文件的mtime（ >PHP 4.2.3）而不是atime

session.cookie_lifetime

这个是Server发送给浏览器的cookie过期时间

所以只要明白了这两个配置的原理，那么这个问题至少会回答及格（我认为）。

所以手册很重要，不管是哪种技术，如果把手册研究一篇，搞懂80%以上，那么不是大牛也是个高级工程师鸟。

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

MySQL中得到当前使用的数据库

tomheng — Thu, 05 Jan 2012 12:38:06 +0000

在MySQL中用use 切换使用的数据库（或者在PHP中用mysql_select_db函数)，反过来我们怎样知道正在使用的是哪个数据库呢？

这种需求很少遇到，但是还是会遇到的：）

所以找了一下，发现MySQL可以通过select databse()命令来查看当前使用的数据库。

ps:MySQL database函数

让2012来的更猛烈些吧

tomheng — Sat, 31 Dec 2011 15:59:45 +0000

好吧，2012真的要来了！

除了上面一句，一下内容算流水账一类的内容了。

对我而言，2011年如果用一个词来描述的话，我想应该是‘初来乍到’，最大的感受就是“不容易”，关键词是“实习、毕业、父母、工作”。

2011年的时间线

2011年1月8日，考完试我就来到了北京想找一个实习机会。因为大四下学期基本上没有什么课程了，主要就是实习，考试前已经有同学去寻找实习机会了。毕竟是初生牛犊，来北京是慎重考虑的结果，而且做好了各种准备，准备了两个月左右的生活费（来之前问过一些在北京的朋友，一个月生活费，省着点的话大概2000左右），联系了一些在北京的朋友必要时提供一些帮助。来到之后，随便找了一个房子（其实是地下室吧），买了些生活必需品，之后的事情就是找工作了。经历了多次面试之后，最后决定去猛买实习，其实在猛买不像是实习，更像是正式工作，学到了很多东西。因为自己初来乍到也犯过很多错误。

2011年5月下旬，因为最后的毕业答辩要回到学校才行，随启程返回烟台。之后一个月就是各种搞论文、各种聚会、各种玩了，那是另外一个故事了，一直想写一下最后的那一个月的生活，以后有可能再补上吧！

2011年6月10日，处理完学校的事情之后回到北京，来之前我已经给张总发了一封离职邮件说明一下。所以接下来又要重新找工作，这次面试的都是一些稍大些的公司，经过一月左右的尝试，最后选择了金鹰网（2011年7月12日）。

接下来是两个月安稳时期，应是在8月初，部门经理跟我说我们部门要搬到长沙去，金鹰网北京这边应该算是一个办事处，大部队是在长沙那边，当时我的同意去长沙，毕竟年多走一些地方，长长见识是好的。

于是乎8月下旬迁往长沙，到长沙不到一周，我姐打来电话说我爸得了食道癌，当时听了之后，我一时真不知道应该怎么办了，下午跟部门经理请了两周的假。我爸得病的事突如其来，对我的打击很大，当时回济南以后就是安排老人到济南做手术，医生说如果不做手术两三个月后就不能吃东西了（其实当时吞咽已经有困难了），之后20多天就是在医院照顾父亲，值得庆幸的是父亲手术很成功。在那20天了哭了很多次，想了很多的事情，有很多感触。

2011年10月4日回到长沙，基于当时父亲的情况，我不想走远了。和部门经理商量之后准备回北京。

2011年10月中旬再次回到北京。

毕业第一年走的不是很顺利，但这样已经很好了。

感受

无力，这一年我感到前所未有的无力感，太弱小，很多东西无法改变（也是我不够努力）。
人生最重要的是健康快乐，对于我们做IT的人更是如此，要多锻炼，少熬夜！
坚持真的很重要，永远不要放弃。
学海无涯，技术、生活、感情各个方面都有学不完的知识

收获

对自己的认识深了一层，知道自己真正想要什么东西了，其实内心一直知道自己想要什么，只不过自己不知道。

买了kindle，读书多了起来。

2012年

希望爸妈、姐、侄女可以健健康康、平平安安！
自己可以有所作为
走更多的地方，认识更多的朋友
可以赚更多的钱
脱光
玛雅预言失败

附：
2009总结

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

关于CSDN用户数据泄露的一些思考

tomheng — Thu, 22 Dec 2011 12:25:14 +0000

“有很多用户的密码在网上飘荡，而且它还是明文的”

CSDN 600万的用户信息（用户名、密码和邮箱）泄露了，而且密码是明文存储的。之后又爆出了人人、多玩等众多网站的用户信息也被泄露了。当然这只是黑客门放出的一部分信息，只是冰山一角，不过管中窥豹可以知道现在互联网是多么的不安全，多么的没有隐私，翻开手机看看手机里的那些垃圾短息吧！还有接到的那些很多莫名其妙的电话。

毋庸置疑互联网时代安全是一个大问题，但是互联网的安全性和开放性始终一对矛盾，在一个开发的系统中想实现绝对的安全似乎是不可能的。在2011年的尾巴上的这次信息泄露事件，从另一侧面来看反而是一件好事，无论对于网站开发人员还是最终用户，大家的安全意识应该在这次事件中有一个提高。

如何保证信息的安全?

(1) 加密算法的选择

MD5、SHA、Bcrypt() 、PHK、SRP等究竟应该选择哪一个算法比较安全。这里做了一个关于Bcrypt 、PHK、SRP的讨论，作者指出一个越快的加密算法越不安全，快即意味着破解或者攻击所需要的时间也会减少，所以选择加密算法加密速度是一个考虑的因素，作者最后推荐的加密算法是Bcrypt。

牛逼、并且最靠谱的方法可能是自己开发一个加密算法、当然开发的算法强度至少要达到MD5，然后要严格保密这种加密算法（这又是个问题），那么被破解的概率就要小很多了。

还有一点就是选择常用的加密方法，虽然是一个笨得思路，但也许能起到一些作用。毕竟现在最完备的字典应该是MD5的，如果采用非MD5的加密方法，那么被字典攻击的时间消耗就要更长一些。

更多关于加密算法选择的讨论：

（2）如何加密

对于用户密码来说一般都是单向加密，加密时一定要加salt，而且要每一个用户一个salt，这样就会大大的增加字典破解的难度，如果选用MD5这种快速加密方法，推荐至少加密两次。

(3)强制用户使用复杂密码，这一招也很有用

用户应该怎样管理自己的密码

2009年的时候写过一篇关于密码管理的文章，这里不再重复了。

关于安全问题的讨论

相关网站

OWASP
WooYun

PS:

今天又发现天涯4000万的用户数据，又是明文存储。不过事件的发展越来越阴谋论了，互联网在这里真好玩。（update: 2011-12-25)

未完待续···

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

SQL中LIKE的另类玩法

tomheng — Wed, 21 Dec 2011 11:48:27 +0000

设想一个场景，我有个关键词屏蔽词库（应该很多网站都有吧），所有的关键词都存储在MySQL中，怎样查询某个字符串是否含有屏蔽关键词？

比如我们有一个屏蔽词 tom，要屏蔽任何含有tom的词语。

通常情况下LIKE这样用

SELECT * FROM `table` WHERE field LIKE ’%字符串%’

下面我们这样玩，来解决上面的问题

SELECT * FROM `table` WHERE ‘字符串’ LIKE CONCAT(‘%’,field,’%')

PS:

这让我想起了初中时数学课中经常用来做几何证明的逆向思考方式。

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

seajs 使js开发模块化

tomheng — Sun, 11 Dec 2011 15:33:31 +0000

seajs一个js类库，主要实现对js的模块化开发。

对于一个大项目或者是一个需要团队协作的项目，模块化开发

可以使得对代码的管理更规范和高效。seajs就是为了满足这种需求来的。

不过我个人可能会更需要js可以按需加载，因为有些类库不是所有的页面都

需要的，我的预期是js类库只有在需要的时候才去加载。

seajs可以通过require.async来实现按需加载。

最近在关注HTML5、CSS3的相关内容，这两个东西确实会给我们带来很不一样的体验。

还有js也很活跃，后端出了nodejs，前段有各种基础类库，还有MVC框架。

还有在js上发展起来的新语言 coffee script和dart,令人目不暇接。

确实很多东西(以论坛为主的网站将如何转型？)需要从底层变革一下了，因为他们周围的东西已经变了。

矛盾促使了这样的变革和发展。

在什么场景下使用闭包？

tomheng — Wed, 07 Dec 2011 06:38:17 +0000

在需要把逻辑封装到自己的范围内的情况下，闭包会十分有用。重构旧代码以进行简化并提高可读性就是这样一个例子。查看以下示例，该示例显示了在运行一些 SQL 查询时使用的记录程序。

1
2
3
4
5
6
7
8
9
10

//记录 SQL 查询的代码
$db = mysqli_connect("server","user","pass");
Logger::log('debug','database','Connected to database');
$db->query('insert into parts (part, description) values ('Hammer','Pounds nails');
Logger::log('debug','database','Insert Hammer into to parts table');
$db->query('insert into parts (part, description) values
('Drill','Puts holes in wood');
Logger::log('debug','database','Insert Drill into to parts table');
$db->query('insert into parts (part, description) values ('Saw','Cuts wood');
Logger::log('debug','database','Insert Saw into to parts table');

可以看出执行操作的重复程度。对 Logger::log() 执行的每次调用都有相同的前两个实参。为了解决此问题，我们可以把该方法调用放入闭包并转而针对该闭包执行调用。得到的代码如下所示：

1
2
3
4
5
6
7
8
9
10
11

//记录 SQL 查询的重构代码
$logdb = function ($string) { Logger::log('debug','database',$string); };
$db = mysqli_connect("server","user","pass");
$logdb('Connected to database');
$db->query('insert into parts (part, description) values ('Hammer','Pounds nails');
$logdb('Insert Hammer into to parts table');
$db->query('insert into parts (part, description) values
('Drill','Puts holes in wood');
$logdb('Insert Drill into to parts table');
$db->query('insert into parts (part, description) values ('Saw','Cuts wood');
$logdb('Insert Saw into to parts table');

整理自：http://www.ibm.com/developerworks/cn/opensource/os-php-5.3new2/
PS:原文有些不正确的地方，比方说到PHP 5.3.5都不可以通过闭包中的this指针访问类内的成员变量（当然可以通过其他方法实现），文章大部分内容正确，还是“尽信书不如无书”。

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

无主题分享一张图片

tomheng — Wed, 30 Nov 2011 15:28:08 +0000

猜猜中间哪个是什么？

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65

【转载】浅谈PHP中的Session机制

tomheng — Mon, 28 Nov 2011 11:16:34 +0000

做web开发，必然会涉及到Session，这是由于http协议本身是无状态的（每次响应都是独立的，彼此间没有联系），所以如果需要在页面跳转间保持某个用户的身份，就要在每次连接时告诉服务器端你的唯一标示号，即Session ID。这样，服务器端便可通过Session ID得到所需的数据。

在PHP中，Session是通过$_SESSION这个全局变量来set/get的，不过在使用之前要先初始化。初始化是通过session_start函数（如果php.ini中将session.auto_start设为1，则会自动初始化），之后PHP会为request自动生成一个唯一随机数作为Session ID，生成算法默认提供了MD5 (128 bits) 和SHA-1 (160 bits)，由php.ini中session.hash_function设定。其实也可以自定义，比如在随机数基础上将来访者的IP地址也加入到算法中，像CodeIgniter1.7.2中代码：

1
2
3
4
5
6
7
8

$sessid = '';
while (strlen($sessid) < 32)
{
$sessid .= mt_rand(0, mt_getrandmax());
}
// To make the session ID even more secure we'll combine it with the user's IP
$sessid .= $this->CI->input->ip_address();
$sessid = md5(uniqid($sessid, TRUE))

生成的ID存放在服务器的某一目录下，这由php.ini中session.save_path配置。如果你选择默认的文件式session存储，那么可能会遇到大量session文件导致IO性能下降，这个问题可以通过调节save_path来优化，具体请看大量php session临时文件带来的服务器效率问题。如果要在多个服务器中同步session id，你可以将其存放在数据库或共享缓存中。这需要你自定义一系列Session的读写方法，并在调用session_start函数前先设定好，以下面代码为例(来自php document中的一段示例代码)：

1
2
3
4
5
6

CREATE TABLE `ws_sessions` (
`session_id` VARCHAR(255) BINARY NOT NULL DEFAULT '',
`session_expires` INT(10) UNSIGNED NOT NULL DEFAULT '0',
`session_data` text,
PRIMARY KEY (`session_id`)
) TYPE=InnoDB;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94

class session {
// session-lifetime
var $lifeTime;
// mysql-handle
var $dbHandle;
function open($savePath, $sessName) {
// get session-lifetime
$this->lifeTime = get_cfg_var("session.gc_maxlifetime");
// open database-connection
$dbHandle = @mysql_connect("server","user","password");
$dbSel = @mysql_select_db("database",$dbHandle);
// return success
if(!$dbHandle || !$dbSel)
return false;
$this->dbHandle = $dbHandle;
return true;
}
function close() {
$this->gc(ini_get('session.gc_maxlifetime'));
// close database-connection
return @mysql_close($this->dbHandle);
}
function read($sessID) {
// fetch session-data
$res = mysql_query("SELECT session_data AS d FROM ws_sessions
WHERE session_id = '$sessID'
AND session_expires > ".time(),$this->dbHandle);
// return data or an empty string at failure
if($row = mysql_fetch_assoc($res))
return $row['d'];
return "";
}
function write($sessID,$sessData) {
// new session-expire-time
$newExp = time() + $this->lifeTime;
// is a session with this id in the database?
$res = mysql_query("SELECT * FROM ws_sessions
WHERE session_id = '$sessID'",$this->dbHandle);
// if yes,
if(mysql_num_rows($res)) {
// ...update session-data
mysql_query("UPDATE ws_sessions
SET session_expires = '$newExp',
session_data = '$sessData'
WHERE session_id = '$sessID'",$this->dbHandle);
// if something happened, return true
if(mysql_affected_rows($this->dbHandle))
return true;
}
// if no session-data was found,
else {
// create a new row
mysql_query("INSERT INTO ws_sessions (
session_id,
session_expires,
session_data)
VALUES(
'$sessID',
'$newExp',
'$sessData')",$this->dbHandle);
// if row was created, return true
if(mysql_affected_rows($this->dbHandle))
return true;
}
// an unknown error occured
return false;
}
function destroy($sessID) {
// delete session-data
mysql_query("DELETE FROM ws_sessions WHERE session_id = '$sessID'",$this->dbHandle);
// if session was deleted, return true,
if(mysql_affected_rows($this->dbHandle))
return true;
// ...else return false
return false;
}
function gc($sessMaxLifeTime) {
// delete old sessions
mysql_query("DELETE FROM ws_sessions WHERE session_expires < ".time(),$this->dbHandle);
// return affected rows
return mysql_affected_rows($this->dbHandle);
}
}
$session = new session();
session_set_save_handler(array(&$session,"open"),
array(&$session,"close"),
array(&$session,"read"),
array(&$session,"write"),
array(&$session,"destroy"),
array(&$session,"gc"));
session_start();
// etc...
?>

除了上述方法外还有其他办法可以保持Session的同步，可以参考PHP SESSION解惑一文中第四部分“session的同步”。

下面再谈谈Session ID的传递方式：Cookie和URL传递。
Cookie是比较常用的方式，在这种模式下，启动Session后服务器会在HTTP Response中自动加上header(‘Set-Cookie: session_name()=session_id(); path=/’)，并在以后的请求中加上这个Cookie。当从该页跳转到的新页面并调用session_start()后，PHP将检查与给定ID相关联的服务器端存贮的session数据，如果没找到，则新建一个数据集。但是有一点，这种传递方式必须在用户浏览器开启Cookie的情况下才可用，如果万一用户关闭了Cookie，那么只好选择另外一种通过URL参数传递Session ID。
开启URL传递需要在php.ini中设置session.use_trans_sid（文档中提示使用这种方式会有安全风险，因为它显示地将Session ID放在url中，所以除非迫不得已不要选择此方式），并在代码中做如下修改：

1
2
3
4
5
6

// 如果客户端使用cookie,可直接传递session到page2.php

echo '
page 2';

// 如果客户端禁用cookie
echo '
. SID . '">page 2';

/*
默认php5.2.1下,SID只有在cookie被写入的同时才会有值,如果该session
对应的cookie已经存在,那么SID将为(未定义)空
*/
更新2010－12－28：
如果php使用默认的file方式存储session，还要注意lock问题。因为php会lock住session文件直到这个session关闭，所以如果你的应用中涉及iframe、下载、Comet或者用户在同一个浏览器打开多个tab等等多个并行请求都要操作session时，就可能会遇到由于lock影响用户操作的情况。一个简单的解决办法就是在操作完session时，及时调用session_commit()或session_write_close()来关闭session，从而释放锁。（注意在关闭session后不要再调用任何session相关的函数）

关于Session的内容还有很多，具体可查看官方手册，如果有新的总结会继续更新。
原文链接：http://imdonkey.com/blog/archives/255

评论| 作者: tomheng 85159e08d5f1f50d244825cb03e92c65