技术改变世界 创新驱动中国 – 《程序员》官网

文/ 晁晓娟

以工作中某项目的安全改善过程为例，分享了常用网站安全性的典型问题和解决对策，希望对网站开发者有借鉴意义。

有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素，网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。值得注意的是，如果服务器的账号和权限由于管理不善而泄露了，即使技术上网站系统再安全，也不可避免会受到攻击。

在笔者曾经参与过的一个项目中，客户方邀请了专业的第三方安全测试公司进行了安全性的全面检测，同时也针对性地进行了安全性的改善，特别是在应用程序方面。此文将分享改善过程中的几个典型问题的分析和解决对策，包括SQL注入攻击、跨站点脚本攻击、验证码绕过等，希望能够为大家在改善网站安全方面的工作提供参考，并采取相应的防范措施。

项目背景

该项目使用的技术和平台：

OS：Windows 2008 Server, Enterprise Edition 64-bit

Database：Microsoft SQL 2005 Server, Standard Edition

WebServer：IIS7.0

开发平台：.NET Framework 2.0

考虑到网站安全的跨平台和通用性，文中讨论时仅提供对应策略不使用实际代码，这里所有的项目网站用到的域名统一用example.com代替。 阅读全文 »

文/张凯峰

上个月，Ajax网站AjaxLine统计发布了30款最受欢迎的Eclipse插件，这次遴选出的插件，范围涉及Python、LAMP、Web、Emacs、SQL、Log、UML和IDE增强等诸多方面，琳琅满目的Eclipse插件体现出插件机制在Eclipse中优异的扩展性能，以及Eclipse作为IDE在开发者心目中的地位。

众所周知，Eclipse是最初作为Java IDE发布的一个开放平台，因其具备完善的插件扩展机制，并逐渐加入对于C++和其他语言平台的支持而受广大开发群体的欢迎，一度成为IDE市场事实上的标准。很多软件开发厂商，包括IBM和Oracle在内，都基于Eclipse平台推出各自贯穿软件生命周期的产品平台，比如IBM的Rational产品系列、Oracle的JDeveloper，还有ThoughtWorks的自动化测试平台Twist。在InfoQ中文站上进行调查的结果中显示，除了这些著名非著名的插件外，国内开发者们还比较热衷于使用MyEclipse和Apatana这样的Eclipse插件，当然开源的插件更是不计其数。

最近20年无疑是IDE快速发展的时期，层出不穷的语言需要强力的IDE来支持，语言、程序员和软件厂商在这个新兴的市场中博弈浮沉。近观这几年，我们就会发现有的IDE在厂商的金元支持下不断增强，老产品发布的新版本强劲有力；而有的IDE则城头变换大王旗，甚至彻底没了踪影；有的新款专业级甚至开源的IDE随着新兴语言的登场让人眼前一亮；有的却怠于改进反响微弱，让人食之无味弃之可惜。

让我们来看一下，最近一年IDE们都在忙些什么？那些耳熟能详的IDE现在怎么样了？这个市场上又出现了哪些新面孔呢？IDE在朝着怎样的一个方向发展？ 阅读全文 »

李伟

西门子中国中央研究院首席架构师、图书《架构之美——软件架构的艺术》作者李伟，从架构师的定义和内涵、能力和素质要求、成长途径等方面向您阐述成为一个真正的架构师需要经历的历程。

记者： 您认为具备哪些能力，才算是真正的架构师？

李伟：虽然业界有关什么是“软件架构”有着明确的定义及共识，但是确实没有软件架构师的定义。简单地讲，架构师是一个技术控制的角色。技术控制是从客户或市场开始，一直到交付或服务的整个链条。如果大家对一个应用研发机构或产品研制机构的主要活动熟悉的话，就知道该链条上存在很多需要架构师负责的控制点。以西门子为例，西门子的战略市场部门就会和业务部门的很多架构师进行协作。这主要是由于战略市场部门的职能之一就是对未来十到十五年的技术和创新进行预判。这样的技术预判，如果没有架构师作为技术控制，单凭MBA出身的市场人员，大家能相信这样的技术预判吗？所以架构师需要具备一定程度的技术及创新预判能力。 阅读全文 »

作者：蔡学镛

在试图建立“技术文档”时，许多人可能会想到“文档模板” 。文档模板的存在究竟是好是坏，因人因事而异。此外我们也应该分清楚：何时应该使用文档模板，何时不要使用文档模板？

使用模板的好处

先来看看使用模板的好处：

1、在你毫无头绪时，文档模板具有引导写作的功效。

2、文档模板可以帮助你不会遗漏一些该写的重点（假设该模板已经很完备）。

3、你可以专注写内容，不用分心去管板型（因为模板都已经将这些设置好了）。板型很重要，好的板型有助于阅读。

阅读全文 »

主持人

冯大辉，阿里巴巴集团旗下支付宝 （中国）网络科技有限公司数据库架构师，负责支付宝数据库架构规划、解决方案等相关工作。

提问嘉宾

岳旭强，淘宝网资深架构师，在大型交易网站的设计和调优方面有丰富的经验。2004年加入淘宝，见证了淘宝网业务以及技术上完整的发展过程，参与了淘宝几乎所有核心系统改造，并主导了用来支撑淘宝网未来高速发展的核心业务中心的建设。现在负责网站整体业务架构的设计和规划。

回答嘉宾

杨卫华，新浪产品事业部技术经理，专注于开发高并发的分布式应用。对互联网后端技术、分布式、网络编程、XMPP即时通讯等领域感兴趣。曾多次组织广州及珠三角技术沙龙活动。个人Blog：http://timyang.net

岳旭强：企业内部技术产品开源有何好处？需要注意什么？

杨卫华：目前不少心态开放的企业已将一些会给业界带来价值的产品进行开源。新浪也在这方面进行了不少尝试，近几年开源了若干产品。根据我们的体会，产品开源一方面可以促进项目参与人员将技术做得更好，在程序结构、代码风格、代码一致性、代码效率方面会更加谨慎，让源代码及文档达到业内开发人员认可的标准。而业内很多闭源产品通常只要求项目内部范 阅读全文 »

提问嘉宾：

林昊，网名BlueDavy，China OSGi User Group Director，淘宝网平台架构部架构师，个人的研究方向主要为Java模块化、动态化系统的构建以及高性能的大型分布式Java系统的构建。曾编写《OSGi实战》和《OSGi进阶》两篇Opendoc，为OSGi在中国的推广起到了很大的作用。

回答嘉宾：

黄冬，有多年软件开发、系统架构、系统运营的经验验。长期关注于高可用性、高可扩展性的系统架构设计。主持设计和运行过多个大型高容量产品和系统，也是中国FreeBSD、Python社区的发起者和积极参与者，也是国内啄木鸟（http://www.woodpecker.org.cn）社区的创始人之一。现在正在北京从事系统架构咨询及系统运营外包的的创业之路。

林昊：随着数据量的不断增长以及前端应用的不断水平扩充，数据库的压力会成为明显的问题，这个时候常用的方案是数据拆分，在数据拆分时有些什么较好的拆分方式，以及如何能够做到数据拆分后对已有程序不产生影响或产生很小的影响？

黄冬：这个拆分以应用的特性为主，从业务的特性出发更为重要，不是一个技术层面的通用解决方案，一般来讲先会从业务自身分析，已经有人总结过数据库做拆分的几种方式： 阅读全文 »