博客园_淘宝API-.net开发-数据库优化-seo优化-技术是手艺,语言是工具,驰骋在代码的海洋中

IE7 绝对定位z-index问题

2012-03-14T13:52:00Z

　在进行网页布局设计的时候，经常会根据需要设置相对定位，绝对以及浮动定位最近突然发现了一个奇妙的现象：IE6下绝对定位元素神秘消失或被遮挡, 首先是IE绝对定位元素神秘消失,设置的绝对定位元素,突然从IE浏览器下消失了，然而火狐能正常显示. 尝试对绝对定位元素进行清除浮动操作,IE下能显示，但是出现了莫名的留白，火狐下正常显示.至少这个现象表明，绝对定位元素在IE6下神秘消失对相邻元素的浮动定位有关.

类似如图的情景

具体解决方案：

参考：

http://stackoverflow.com/questions/8680152/absolute-overlay-div-element-doesnt-cover-relatively-positioned-elements/8680539

http://www.k68.org/?p=272

http://www.sweetwill.com/contentid155.htm

http://www.sub-273.com/archives/1706

本文链接

QPS、PV和需要部署机器数量计算公式(转)

2011-12-05T02:36:00Z

术语说明：
QPS = req/sec = 请求数/秒

【QPS计算PV和机器的方式】

QPS统计方式 [一般使用 http_load 进行统计]
QPS = 总请求数 / ( 进程总数 *   请求时间 )
QPS: 单个进程每秒请求服务器的成功次数

单台服务器每天PV计算
公式1：每天总PV = QPS * 3600 * 6
公式2：每天总PV = QPS * 3600 * 8

服务器计算
服务器数量 =   ceil( 每天总PV / 单台服务器每天总PV )

【峰值QPS和机器计算公式】

原理：每天80%的访问集中在20%的时间里，这20%时间叫做峰值时间
公式：( 总PV数 * 80% ) / ( 每天秒数 * 20% ) = 峰值时间每秒请求数(QPS)
机器：峰值时间每秒QPS / 单台机器的QPS   = 需要的机器

问：每天300w PV 的在单台机器上，这台机器需要多少QPS？
答：( 3000000 * 0.8 ) / (86400 * 0.2 ) = 139 (QPS)

问：如果一台机器的QPS是58，需要几台机器来支持？
答：139 / 58 = 3

本文链接

Cannot open the disk 'XXX' or one of the snapshot disks it depends on. reason: failed to lock the file.

2011-11-25T01:22:00Z

今天打开vmware的Ubuntu虚拟机，发现出现Cannot open the disk 'XXX' or one of the snapshot disks it depends on. reason: failed to lock the file警告，上网查了一下，发现原来是上次异常关机，原本文件夹里出现了.lck后缀的文件，将其所在的文件夹删除，就可以解决了。

本文链接

Sql 2008查询优化-逻辑转换

2011-06-24T13:21:00Z

Sql 2008查询优化-逻辑转换

Sql server 优化器在工作方式上，对or 逻辑处理在性能上存在问题，与 and 相比，性能差了些。为此，常看到sql优化中，提到减少用or ，尽量用 and的说法。

在此，使用demo数据来验证此说法。“逻辑转换”，就是将逻辑or 转换成 and 的优化，主要分析逻辑筛选条件。

准备数据表：

1. 运行sql脚本生成order表,orderdata.txt

IF OBJECT_ID('dbo.MyOrders') IS NOT NULL

DROP TABLE dbo.MyOrders;

SELECT * INTO dbo.MyOrders FROM Sales.Orders

CREATE INDEX idx_dt ON dbo.MyOrders(orderdate);

3. 一切准备好后，假设筛选条件为：orderdate>’20080506’ or (orderdate=’20050506’ and ordered>11075)

运行下列语句:

SELECT orderid, orderdate, custid, empid

FROM dbo.MyOrders

WHERE orderdate > '20080506'

OR (orderdate = '20080506' AND orderid > 11075);

其统计信息如下，

(2 行受影响)

表'MyOrders'。扫描计数1，逻辑读取20 次，物理读取0 次，预读0 次，lob 逻辑读取0 次，lob 物理读取0 次，lob 预读0 次。

(1 行受影响)

实际执行计划如下：

可以看出，这样的筛选条件，没有用上索引，而是执行表扫描。在现实中表的规模，将会是很大i/o开销。

分析逻辑条件，改为orderdate >= '20080506' AND (orderdate > '20080506' OR orderid > 11075) 即：

SELECT orderid, orderdate, custid, empid

FROM dbo.MyOrders

WHERE orderdate >= '20080506'

AND (orderdate > '20080506' OR orderid > 11075);

统计信息以下：

(2 行受影响)

表'MyOrders'。扫描计数1，逻辑读取6 次，物理读取0 次，预读0 次，lob 逻辑读取0 次，lob 物理读取0 次，lob 预读0 次。

(1 行受影响)

实际执行计划如下：

可以看出，逻辑读只有6次，且用上了索引。如果在orderdate和orderid上同时创建一个索引，性能会更好。

Ok，就到这了。

本文链接

基于SQL Server 2008 Service Broker构建企业级消息系统(转)

2011-04-13T15:00:00Z

Microsoft 在SQL Server 2005引入了服务代理（Service Broker 简称SSB）为技术支持代理设计模式和面向消息的中间件 (MOM) 的原则。Service Broker在SQL Server 2008上得到完善, SQL Server Service Broker 为消息和队列应用程序提供 SQL Server 数据库引擎本机支持。这使开发人员可以轻松地创建使用数据库引擎组件在完全不同的数据库之间进行通信的复杂应用程序。开发人员可以使用 Service Broker 轻松生成可靠的分布式应用程序。使用 Service Broker 的应用程序开发人员无需编写复杂的内部通信和消息，即可跨多个数据库分发数据工作负荷。因为 Service Broker 会处理会话上下文中的通信路径，所以这就减少了开发和测试工作。同时还提高了性能。

详细内容：基于SQL Server 2008 Service Broker构建企业级消息系统

本文链接

Scrum框架及其背后的原则（上）——Scrum 框架的伪代码描述(转)

2011-04-08T05:29:00Z

Scrum框架及其背后的原则（上）——Scrum 框架的伪代码描述

http://www.infoq.com/cn/articles/scrum-pseudo-code

本文链接

随笔-项目管理的瞎想

2011-04-01T13:32:00Z

项目管理看似简单容易，可真正能把控全局却不是一件容易的事。

在项目前期，要做需求调研，这是项目开始的基础。不明确的、含糊的需求描述在后期都会给项目带来不可预料的问题。

需求调研之后，进行相应的分析，将客户要求的，期望的东东整理成文档，做可行性分析。

需求分析待双方都确认无误后，进入系统设计阶段。系统用如何搭建物理框架，既要满足当前的开发需求，又能有一定的可扩展性。

根据项目中估算的数据量、并发量等参数选择合理的物理架构，前期不要大牛拉小车，浪费硬件的资源，同时又浪费老板的钱。

物理框架设计好后，选择逻辑架构，用什么技术，如分布式，用remoting,还是wcf还是其他。等等。系统分层明细，秉着单一原则，将建好各层（数据层、逻辑层、实体层、公共层、接口层、工厂层等），同时要考虑日后的修改或扩展。

公共层或组件，包括缓存、日志、邮件、上传文件、安全验证等一系列的公共的部分建立好，可为日后项目开发提供强有力的功能接口支持。

项目进入到正式开发阶段，前提是数据库设计等已完成，团队的成员根据计划分别进行需求功能开发。在分配任务时，一定要了解团队各成员的技术水平，这样可合理有效的分工，使项目事半功倍。

当然，还有代码规范，俗话说没有规矩，不成方圆。代码规范文档等在项目开始前一定给团队成员进行培训，在开发中不按要求者代码重写并扣绩效，呵。。强硬措施。

随笔，想到哪，就写到哪，今天到此！

本文链接

关于NoSQL你必须知道的九件事(转)

2011-04-01T12:47:00Z

本文提到的列表来源于一篇文章，文章标题是关系型数据库使用者必须知道的一些NoSQL知识。其中总结的九点NoSQL与RDBMS的区别联系非常不错。NoSQLFan为大家翻译在此。

原文链接：NOSQL DB BASICS FOR THE RDBMS-SAVVY

1、理解ACID与BASE的区别(ACID是关系型数据库强一致性的四个要求，而BASE是NoSQL数据库通常对可用性及一致性的弱要求原则，它们的意思分别是，ACID：atomicity, consistency, isolation, durability;BASE：Basically Available, Soft-state, Eventually Consistent。同时有意思的是ACID在英语里意为酸，BASE意思为碱)

2、理解持久化与非持久化的区别。这么说是因为有的NoSQL系统是纯内存存储的。

3、你必须意识到传统有关系型数据库与NoSQL系统在数据结构上的本质区别。传统关系型数据库通常是基于行的表格型存储，而NoSQL系统包括了列式存储(Cassandra)、key/value存储(Memcached)、文档型存储(CouchDB)以及图结构存储(Neo4j)

4、与传统关系数据库有统一的SQL语言操作接口不同，NoSQL系统通常有自己特有的API接口。

5、在架构上，你必须搞清楚，NoSQL系统是被设计用于成百上千台机器的集群中的，而非共享型数据库系统的架构。

6、在NoSQL系统中，可能你得习惯一下不知道你的数据具体存在何处的情况。

7、在NoSQL系统中，你最好习惯它的弱一致性。”eventually consistent”(最终一致性)正是BASE原则中的重要一项。比如在Twitter，你在Followers列表中经常会感受到数据的延迟。

8、在NoSQL系统中，你要理解，很多时候数据并不总是可用的。

9、你得理解，有的方案是拥有分区容忍性的，有的方案不一定有。

原文出处：http://blog.nosqlfan.com/html/1535.html

本文链接

Web入侵安全检测之表单提交（转）

2011-04-01T01:44:00Z

文章内容有些过时，但基本思想还是可以学习的，自己保存个日志，以便自己查阅。

在Web程序设计中，处理表单提交的数据是客户端向SERVER传递数据的主要方法，表单数据的提交方法有两种Post方法和Get方法，当使用Post方法时，数据由标准的
输入设备读入，当使用Get方法时，数据由CGI变量QUERY_STRING传递给表单数据处理程序，当Post方法一般不会在服务器上留下痕迹。具体的实现过程这里我就不多说，
有兴趣的朋友可以去翻阅其他资料。不管是ASP程序还是PHP，CGI程序，表单提交的作用的大同小异的，所以这里仅以ASP为例。

一.利用表单本地提交突破入侵限制
既然表单是客户端与服务端的重要数据传递方法之一，那么它的安全性就难免会出现问题。

1:上传非法文件。

某同学录的popwindowupload1.asp的客户端代码如下：

< HTML> .... < Script language="javascript"> function mysubmit(theform) { if(theform.big.value=="") { alert("请点击浏览按钮，选择您要上传的jpg或gif文件!") theform.big.focus; return (false); } else { str= theform.big.value; strs=str.toLowerCase(); lens=strs.length; extname=strs.substring(lens-4,lens); if(extname!=".jpg" && extname!=".gif") { alert("请选择jpg或gif文件!"); return (false); } } return (true); } < /script> ..... < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/class/classimage"> < input type="submit" name="Submit2" value="开始上传"> .... < /HTML>

很明显，这个上传文件在客户端利用SCRIPT限制了上传类型，虽然用SCRIPT可以减轻ASP程序的负载，但象大部分好的方面一样也有它坏的一面，如果其只是在客户端做限制，并在服务端限制上传类型或禁止外部提交，那么它并不能阻止我们上传程序禁止上传的ASP，CER，PHP等文件，只要我们在本地构造一个表单也能能轻松的上传这些文件。

构造的表单主要代码如下：
.............

< form name="mainForm" enctype="multipart/form-data" action="http://www.*** w.com/alumni/class/pic/upfile.asp?userid2=" method=post"> < tr> < td width="74" align="right" height="26">标题： < td width="399">十二少 < /tr> < tr> < td width="74" align="right" height="26">照片说明： < td width="399">十二少's照片 < /td> < /tr> < tr> < td width="74" align="right" height="26">图片路径： < td width="399"> < input type="file" name="big"> < /td> < /tr> < tr align="center"> < td colspan="2" height="26"> < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/class/classimage"> < input type="submit" name="Submit2" value="开始上传"> < br> < /td> < /tr> < tr align="center"> < td colspan="2" height="26" class="di">只支持jpg,gif文件，图片大小在 150k< /font>以内，上传时请耐心等待！ < /tr> < /form>

      ....
   只要将前面查看得到的代码中的验证文件类型的SCRIPT删掉，然后再修改ACTION后的URL保存为HTML文件即可

  2：突破表格注入限制
   这个和前面一差不多就不再多说了（呵呵，其实是找不到实例拉）
   另外字符输入的长度限制也差不多，只要你看得懂这些HTML语言。
                              二.HIDDEN隐藏字段缺陷
   终于说到重点了。
  1：还是SQL注入问题。
   目前SQL注入工击仍是入侵中的一大热点，不过随着时间的推移，一般的大型网站程序都已经将明显的
  注入点打好补丁拉，但是一些隐藏的比较深的注入点却还是有不少的，除非将它所有的代码都翻新一片。
明显的注入点如：.asp?id=*，输入框等都已经过滤了，但这就能彻底的杜绝黑客的入侵吗？回答当然是NO
  这就要提到本文的重点HIDDEN隐藏字段拉。
   图1是某网游官方站点的帐号激活界面，查看源码，搜索"HIDDEN"字符串

< form action="index_game.asp" method="post" name="form1" target="_blank" > ... < td height="25" align="center"> < input type="submit" name="Submit" value="提交"> ... < /form>

如图2，看到了吗那个：
   只要它没有在客户端做任何限制，
  这就是一个注入点拉，将"user_name"的值"norfolk"改为想要注入的代码，然后和前面的一样将"ACTION"
  的改为相应的URL，保存为HTML文件~~~~~~~~~
不过，它的安全还不错，提交后返回错误提示窗口，很显然它在服务端禁止了外部提交。
2：非法修改其他用户密码。

典型的代表是leadbbs V2.77的那个密码修改漏洞：任何注册用户都可以修改管理员密码，从而入侵服务器，
进而拿下主机。
登陆后修改密码，查看源码，其主要漏洞代码如下：
.......

< form action=usermodify.asp method=post name=form1 > < tr> < td align=center height=25> < p>*用户名称： < td height=25> < p>norfolk < tr> < td align=center height=25> < p>*你的密码： < td height=25> < input class=fminpt name=submitflag type=hidden value=52norflk> < input class=fminpt name=form_id type=hidden value=265>

........

其中我的from_id的值为265，在管理员例表中查看管理员ID，然后将它替换265，再将ACTION的URL相应的修改一下
保存为HTML文件再提交就可以将管理员的密码改成52norfolk。

  这个漏洞早在2003.12月就已经公布，这里在拿出来只是为了说明一下这个HIDDEN隐藏字段的危害。不过我发现目前
还是有不少程序可以任意修改其他用户的密码，至于方法如出一辙，(偶用这个漏洞拿下过不少站点的ADMIN):-_-

3：任意修改价格以达到低价甚至不花一分钱网上购物。

早在几年前国内国外的一些大型网上购物网站就已经出现过类似的漏洞。这些网站的后台程序的验证机制并不健全
以至可以在外部提交数据，于是便出现了低价甚至不花一分钱购买商品的事件，导致这些网站造成重大的经济损失，
由此观之，网络安全是马虎不得的，即使一丁点而问题，造成的损失也是不可估量的。希望之后的程序员在编写程序时能
  够尽量细心。这里我就不再将它的利用过程写出来了，反正它们的利用过程都基本相似。

  最后给大家介绍老外写的一个不错的检测WEB应用程序安全性的工具，一下是安全焦点的介绍：

Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器，在一
  个HTTP会话中扮演着"中间人"（man-in-the-middle）的角色。一个典型的HTTP代理服
  务器将在客户浏览器和web服务器间转发数据包，但Achilles却载取发向任一方的HTTP会
  话数据，并且在转发数据前可以让用户修改这些数据.

  相信在WEB入侵方面可以为您提供不少的帮助，如果有可能下次再专门写篇文章介绍它吧，这里我就不多说了，有兴趣的
  朋友可以自己下载研究研究，它的下载地址：http://www.xfocus.net/tools/200403/achilles-0-27.zip


  后记：
到这里还是说一下解决方法吧。
首先当然是禁止外部提交，这里有种不错的方法，大家可以参考参考：

< % server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) if mid(server_v1,8,len(server_v2))<>server_v2 then % > 你想入侵我也不要这么麻烦嘛，直接打电话告诉我，我给你开WEBSHELL，呵呵 < % Response.Redirect "Fuck-Hacker.asp" end if % >

但这不能彻底杜绝黑客对传递的DIDDEN数据的修改，前面那个ACHILLES就能修改，所以在服务端还要有健全的验证机制。

本文链接

博客园_淘宝API-.net开发-数据库优化-seo优化-技术是手艺,语言是工具,驰骋在代码的海洋中

IE7 绝对定位z-index问题

推荐文章-2011.12.05

QPS、PV和需要部署机器数量计算公式(转)

Cannot open the disk 'XXX' or one of the snapshot disks it depends on. reason: failed to lock the file.

Sql 2008查询优化-逻辑转换

基于SQL Server 2008 Service Broker构建企业级消息系统(转)

Scrum框架及其背后的原则（上）——Scrum 框架的伪代码描述(转)

随笔-项目管理的瞎想

关于NoSQL你必须知道的九件事(转)

Web入侵安全检测之表单提交 （转）

Web入侵安全检测之表单提交（转）