Image 01 Image 02

1

<全国最穷小子发财历>读后感

Posted on 28th 五月 2010 by admin

感谢网友为我推荐了这本书,突然间发来,我以为还是病毒,就打开来看一下。很久没看书了,看了一下标题,再看一下大小,书字不算多,我想不用几个小时可以看完,最近实在没有时间看比较长的书。

昨天下午就开始看了一部份,到了昨天晚上,才把它看完。

开始看以为是真人真事,看到中间觉得有些还是有点虚构或者说是别人的。不过不影响书的质量,还是推荐大家去看。

她给了我三个答案,要我选择:一、靠产品,得产品者得天下;二、靠市场,得市场者得天下;三、靠资源,得资源者得天下。
她补充说,她所说的资源指的是权力、朋友这一些。我对这类问题不感兴趣。这类问题实际上是一些伪专家为了吸引别人目光,显示自己功力深厚,而故意总结出来抬高自己身价的把戏。本来三个都可以靠,但我想听听毛梅的看法,便故意说资源是最重要的。毛梅摇摇头,说:“靠产品。假如你是经销型公司,你首先需要一种产品来作为你的核心,不然你连卖什么东西都不知道;如果你是生产型公司,自己生产的产品就更不用说了;假如你是服务型公司,你服务的内容就是产品,认真把内容做好,就是最好的服务。所以我认为产品是立身之本。”
毛梅又说:“很多人都会选择资源,但你想想,一个才起步的企业,能接触到多少资源?有人以为有了权力这个资源就有了一切,其实这是一种错误判断。现在这社会,没人敢为了小利益乱用权力,有权力的人图的是什么?是安稳,不是利益。而一个人最大的幸福感是什么?也是安稳。你知道为什么有这么多人努力奋斗吗?那是因为他感觉不安稳,于是想多挣钱,让以后的生活安稳,一劳永逸。”如果说开始时我对毛梅的见解仅仅是诧异的话,她的这段话则让我感到很惊异。
文章的一段话。我觉得好多人埋怨自己出身不好,这有一个很好的启发。
文章作者从一个自闭,不敢去接触朋友,到后来慢慢开放,尝试去结交朋友。最重要的一点就是他会看透某些人的心,能让他的朋友溶入进来。这一点很重要。
百度的地址,我建议下载下来看,或者可以放到手机上看。很不错的文章。
3

Nginx + PHP CGI的一个可能的安全漏洞

Posted on 21st 五月 2010 by admin

现在普遍的Nginx + PHP cgi的做法是在配置文件中, 通过正则匹配(Nginx(PHP/fastcgi)的PATH_INFO问题)设置SCRIPT_FILENAME, 今天小顿发现了一个这种方式的安全漏洞.

比如, 有http://www.laruence.com/fake.jpg, 那么通过构造如下的URL, 就可以看到fake.jpg的二进制内容

http://www.laruence.com/fake.jpg/foo.php

为什么会这样呢?

比如, 如下的nginx conf:

    

  1. location ~ \.php($|/) {
    2. 

  2.      fastcgi_pass   127.0.0.1:9000;
    3. 

  3.      fastcgi_index  index.php;
    4. 

  4. 

  5.      set $script    $uri;
    6. 

  6.      set $path_info "";
    7. 

  7.      if ($uri ~ "^(.+\.php)(/.*)") {
    8. 

  8.           set  $script     $1;
    9. 

  9.           set  $path_info  $2;
    10. 

  10.      }
    11. 

  11. 

  12.      include       fastcgi_params;
    13. 

  13.      fastcgi_param SCRIPT_FILENAME   $document_root$script;
    14. 

  14.      fastcgi_param SCRIPT_NAME       $script;
    15. 

  15.      fastcgi_param PATH_INFO         $path_info;
    16. 

  16. }
    17.

通过正则匹配以后, SCRIPT_NAME会被设置为”fake.jpg/foo.php”, 继而构造成SCRIPT_FILENAME传递个PHP CGI, 但是PHP又为什么会接受这样的参数, 并且把a.jpg解析呢?

这就要说到PHP的cgi SAPI中的参数, fix_pathinfo了:

    

  1. ; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for CGI.  PHP's
    2. 

  2. ; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to not grok
    3. 

  3. ; what PATH_INFO is.  For more information on PATH_INFO, see the cgi specs.  Setting
    4. 

  4. ; this to 1 will cause PHP CGI to fix it's paths to conform to the spec.  A setting
    5. 

  5. ; of zero causes PHP to behave as before.  Default is 1.  You should fix your scripts
    6. 

  6. ; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.
    7. 

  7. cgi.fix_pathinfo=1
    8.

如果开启了这个选项, 那么就会触发在PHP中的如下逻辑:

    

  1. /*
    2. 

  2.  * if the file doesn't exist, try to extract PATH_INFO out
    3. 

  3.  * of it by stat'ing back through the '/'
    4. 

  4.  * this fixes url's like /info.php/test
    5. 

  5.  */
    6. 

  6. if (script_path_translated &&
    7. 

  7.      (script_path_translated_len = strlen(script_path_translated)) > 0 &&
    8. 

  8.      (script_path_translated[script_path_translated_len-1] == '/' ||
    9. 

  9. ....//以下省略.
    10.

到这里, PHP会认为SCRIPT_FILENAME是fake.jpg, 而foo.php是PATH_INFO, 然后PHP就把fake.jpg当作一个PHP文件来解释执行… So…

这个隐患的危害用小顿的话来说, 是巨大的.

对于一些论坛来说, 如果上传一个图片(实际上是恶意的PHP脚本), 继而构造这样的访问请求…

所以, 大家如果有用这种服务器搭配的, 请排查, 如果有隐患, 请关闭fix_pathinfo(默认是开启的).

本文转自http://www.laruence.com/2010/05/20/1495.html

0

dropbox连接方法

Posted on 14th 五月 2010 by admin

修改系统的hosts加上这一行,就可以使dropbox连接上
174.36.30.71 www.dropbox.com
另外附上xmarks的hosts
64.147.188.86 www.xmarks.com
64.147.188.92 api.xmarks.com
64.147.188.89 login.xmarks.com
64.147.188.87 sync.xmarks.com
64.147.188.86 static.xmarks.com
64.147.188.86 download.xmarks.com
64.147.188.86 my.xmarks.com

0

别让主流思想牵头鼻子走

Posted on 14th 五月 2010 by admin

以下分析个人没有经过大量求证,只是阅读和听说,如果读者有什么其他意见可以直接评论。还有这只是个人的想法和观点。

解放初期大量农民回乡,为了土地改革,分那一亩三分地,守着那点地耕种了一大半辈子,当是当时的思想是封建土地思想,有点地种就不会至于饿死,所以大家都跑回家乡分那一亩三分地。当时的主流思想就是一亩三分地。

当农民守着那一亩三分地耕种大半辈子时,改革开放了,城市发展起来了,居民户口得到了大量了好处(有什么好处大家去问老一辈就知道了),于是大家拼命的往城市移户口,直到当今还有大部份人想这么做。想当年我妈妈为了我们一家转为居民户口实在是大费心思啊,后来好像花了一大笔钱使我们一家子都成了居民户口了,至今我仍然不知道有什么好处。当时的想法就是不想窝到村里,要走出来。从农村到城市成了社会的主流思想了。也许我们现在可以回一回头看看当是的想法。

回看今天,我相信大部份人为了一套房子,把终身几十年的时间都压在了自己那一套房子身上,我不敢评论这是对与错,如果你觉得你的一生只为了一套房子。那你的选择就是对的。有很多女孩子说我要嫁一个有车有房的,这无可厚非。我也想娶一个有车有房的,人生少奋斗几十年。当然如果你是这个社会主流思想的引导者,你有能力买房买车,然是这是好事。要看看自己的能力和你的实际情况。

可以说人类本性一样,80后也一样,不要说能引导这个社会的潮流,实际上就是社会的主流思想,等90后起来了,这个世界依然那样。

最后,如果你想活得比人更好,要么就做一个主流社会的引导者,要么就不要跟着主流社会走。可能会问如果不跟着走,那我要干什么呢?我的出路在哪里?

1

两段视频,值得我们深思

Posted on 11th 五月 2010 by admin

十年前的对话

1

腾讯企业邮箱开始部份内测

Posted on 11th 五月 2010 by admin

拥有多个邮箱帐号
您可以同时创建多个以指定域名结尾的邮件帐号,并自由的分配给您的同事或用户。
支持多个管理员
帐号多也不用担心,您不仅 可以按组织架构管理它们,还可以指定其他人帮助您分管各个部门帐号。

企业内自由群发
您可以畅通无阻的在企业内部发布通知或者公告,而不必 担心漏发或者丢信。

不知道企业邮箱和域名邮箱有什么区别让我们拭目以待吧

优先体验地址:biz.mail.qq.com,暂时需要内测邀请码!
欢迎转载,转载请注明出处。

本文出处:http://www.afen.cn/blog

0

《叶问2》观后感

Posted on 7th 五月 2010 by admin

前两天把叶问2下载下来,到了昨天晚上才看。

很不好意,实在没有办法去电影院看,只能下载盗版电影。的确是一部好电影所以必须支持一下。

以前对甄子丹印象一般般,我对大多数名星都没什么关注,只当他们是娱乐份子。

叶问1当时看了,一直以来,都是抗日片,宣染的手法都大同小异。所以看了也没什么特别的感觉。

叶问2,是写香港1950年以后叶问在香港的生存。其实,抓整部电影的主线来看,很容易发现和第一集一样,在故事的发展中不断的堆积矛盾而触发剧情,用小打小斗推动情节发展,最后酝酿出生死一战,关乎个人性命、关乎民族尊严,从导演给整部电影灌输的情感来看,甚至是将要上升到一种“民族雪耻主义”思想,我认为作为感染观众的手段来说可以理解,在现代和平社会里,我们无法很真切的体会民族感情和过去的一种动乱年代的血性,而用电影独特的情感渲染方式就能够唤醒这种感觉,在某种意义上来说特别能够感染观众的内心、带动观影者的情绪,但在故事存在的环境中是过于拔高了。虽然两集都是关于民族尊严,但感觉两个感情不一样,第一集是对小日本之狠,这情节人人有之,但第二集有一种发扬民族精神在里面,看了振奋人心。

另外,对武术的弘扬,还有对现实生活中的叶问,感觉不做作,低调而真实。的确让人起敬。

最后希望有《叶问3》,哈~

0

几个公共资源

Posted on 6th 五月 2010 by admin

好久没有写博客了,看一下记录已经有一个多月没写了,一般很少有这么长时间没写文章了,好久前找到一些比较有用的公共资源。共享一下。

得到客户端的ip地址和地区,TX的这个效率很快

http://fw.qq.com/ipaddress

这个是客户端请求后返回数据,效率很快,不过没有api可以取提其它的ip地址的地区,只能获取到客户端的,如果是ajax,可以使用这个TX这个。

http://api.liqwei.com/location/?ip=202.108.33.32

这一个是api的,这个效率一般,特别是一些国外的ip,有时候要比较延时

http://api.liqwei.com

可以到这个站点上有好多有用的api,大家可以使用,经过我一段时间的测试,这个api的效率一般,大家可以考虑。