黑盒上各种工具扫
白盒就靠经验了，比较简单的思路是先找到危险方法调用，分析传入参数的来路（其实也有工具能实现自动），或者找对方的 escape 的地方，灯下黑效应，错误的 escape 可以直接用，或者“自以为 ”全都 escape 了的部分绕过后容易有弱点

trackpad 用户表示随便垫本书

做技术的，平时能有自己沉淀、实践、思考和总结的，已经是前 20%了
其中还能把自己的心得体会写出来落成开源项目、文章的，至少前 1%

某些人就会忽略别人的优秀之处，随便看两眼，匹配一个模式打上标签然后冷言冷语一番，真可谓当今社交网络中四处活跃的侠之大者

a.输入过滤是错误的做法，正确的做法是在输出的时候按照不同的位置进行相应的合适的处理（不仅限于后端）
b.htmlspecialchars 不带参数的时候仅适用于 html 标签内容
c.prepare 的问题#13 基本讲了
d.常见的还需要覆盖的有 csrf、cookie 的种种安全问题，session 的种种安全问题，密码安全等
e.你得先知道怎么攻击才能真正知道怎么防御，很多程序员的问题在于，说起安全都能说要做 123 （当然楼主连 123 都没说对说全），但为啥要做，不做会被怎么攻击都讲不清楚，这就有很大风险会导致作出徒有其表的防御
f.要讲安全，建议先通读 owasp cheatsheet 系列

有 CTO 么？这事儿基本要在 [在原有的技术栈上玩命优化(死扛)] [引入新的架构语言乃至团队(折腾)] 之间纠结，找临时工容易挖坑，可能还涉及人事，还是自己人比较好一点

filco87 蓝牙+trackpad 路过

其实自带键盘长时间打字也不疼，只是因为用支架抬高了姿势难过所以还是桌面上放键盘

vagrant

67 无视，89 能正常展示建议升级浏览器界面，记得加上各种双核浏览器开 webkit 核的 meta 标签，差不多了

提问的智慧，科学上网指南书，如何选择搜索关键词，中学英语语法

因为杯壁不干净

以前做完实验洗试管，老师的要求就是不挂水珠，确实反复洗刷干净了以后就不挂水滴了（偶尔挂的轻轻一抖就能抖掉）

用全屏的话而且外接的话建议 trackpad

或者可以考虑不要全屏，只是把窗口拉到最大，相关的工具有 spectacle （键盘党，免费），Window Tidy （鼠标党，最近升级成 Mosaic 了，我没试过），Moom （功能最全，个人觉得有点复杂了，没买）

活动管理器里面看进程，chrome 有一大堆进程的，杀掉占用高的回去看，哪个标签页 /插件崩溃了就是它的锅了

win98 升级 winxp 的心得

每当聊这种话题我都怀疑我上了假的大学……

首先有一点，开发过程中开发任何的不愉快产品经理都有一部分责任，但产品经理不靠谱并不是开发不靠谱或者开发不专业的接口。你该做的是尽快回复对方你的意见（突然修改的风险，是否对其他系统有影响，是否对进度的影响）以及你的下一步（是需要和直属上级沟通确认，是需要和其他部门评估风险，还是需要时间来评估工作量，还是现在就可以开始做，什么时候交货），当然晚上十点这种不合理的时间，等第二天上班再回也无可厚非，或者直接先回“太晚了，明早来和同事一起评估后给出结论”更好点。先把项目推完，项目差不多收尾的时候可以和你的／你们的上级聊聊，确认他们了解到这次变更的前因后果（注意绝对不是打小报告，就是说你了解的事实和你的应对）

> 自己只是一味按照需求码代码，没有对需求求根问底。

yep ，这个是合格开发到优秀开发的一个很重要的晋级，合格的人能做好自己份内的事（然后交界的问题看天命），优秀的人能 hold 住和自己交接的所有其他人，不给对方犯错的机会（了解需求也好，要求事先确认接口定义也好，提前做好抽象支持对方要求的各种返回格式也好）

> 这家公司大家觉得还有没有必要继续呆着

只看一个这么小的片段没意义把，别什么不开心都往“我不呆了”去想，嘛，确实组织架构不合理，向上沟通不畅的话肯定得撤

咨询、介绍、提建议免费
直系／挚友+确定时间够 免费
其他情况不做

正是因为概率是 0 ，所以要加断言来标清楚。”这里的输入老子就只处理数字，不爽不要玩“

改这种风格代码非常爽，一改一跑一堆异常，解决完基本就没问题了

不是说不能写裸 php ，基本的 mvc 分离都没有，再加上这几乎没有的逻辑（有效 php 才几行），我觉得也就只能算个 hello world 吧