发现一件很有意思的事情

有事情在维基百科上查询一些资料,完了之后便没有关掉维基。随便看了看其他一些信息。

浏览了中国的古代史、近代史一直到现代史，尽管这些我在学校历史课本上全都学过了，算是回顾一下吧
自黄帝、炎帝到夏商周，再到春秋战国，再到秦汉王朝，之后又是东汉末年魏蜀吴三国鼎立，后又是魏晋南北朝。接下来又是隋唐英雄传，后期又是安史之乱，分裂成五代十国。然后又形成了宋辽金等杯具局面，后期元朝大统。再然后就进入了明清时期。
再再然后就是国民政府，之后就是现在的中国啦.

正当我感慨我们中华民族有着这么多灿烂文化和文明，正在历史的长河里傲游的时候，不知不觉的看到了维基关于台湾的词条。

我饶有兴趣的读了下去，因为真的本身除了郑成功收复台湾之外，对宝岛的了解不是很深.

看呀看呀，最下方的《东亚、南亚和东南亚领土争议》图示引起了我的注意。想不到这个世界上还有这么多地方是存在冲突的。
忽然我发现了很让我吃惊、不解的一条! 如图：

注意看倒数第三条，我彻底倒了～～～
真不知道这是谁加上去的，难道是中正兄？难道他要来反攻大陆鸟？ 囧rz……

如果，撰写该词条的是一位台湾同胞，我想说请不要自慰.
如果，撰写该词条的是一位大陆兄弟，我想说请不要发昏.

其实，我认为针对这些敏感问题，我们每一个中国人的态度应该是要必须明确起来的。这一点不容置疑。
可是，我们某些政府的机构却没有做到这点，如 工信部的备案网。

相信每个站长都要去为自己的网站备案，可是在选择所在省份的时候，却出现了纰漏.
这是我去年提交的问题/建议，大半年也没人回我.

见：

真心希望该问题可以得到迅速、果断的解决。

sql注入真有意思

不知道怎么想的，忽然之间对网站的SQL 注入感兴趣了.

看了很多文章，也学到了一些注入中通用的手法。

尝试了去注入了很多站点,比如昨天下午半天都用在注入美空网了(连美空网都没听说过？囧rz).

因为美空注册是需要邀请码的，所以一直希望可以把邀请码条件注掉，呵呵

可是，忙活了半天，搞得头昏眼花也没有成功...

今天上午又尝试了下以 http://beautyleg.com/sample.php?no=1 为注入口，去搞beautyleg。
不是报"無法判別相冊編號 !" 就是报"資料庫中找不到指定的相冊!"...

难道注入这么难？

看了一下,beautyleg 用的是 Apache/2.2.3 (Red Hat) 搭配 PHP/5.1.6,数据库应该是mysql了.

如果，每个人都把 magic_quotes_gpc 设成 on,再搞个什么参数过滤.或者都用addslashes() 和mysql_real_escape_string() 来处理一遍,那SQL注入不是干着急嘛？？？

日啊，别的我不知道.我知道美空网是用java写的.用的是tomcat 4 + Apache-Coyote/1.1 connector.
此外图片等静态资源用的是nginx/0.6.35,所以应该确定是linux服务器无疑了(没有人会蠢到在win上跑nginx吧).

如果jdbc连接数据库用的是预编译语句 preparedstatement,那么像我这样的SQL 注入不是鸟用没有了么？

目前真的很疑惑.

谈谈互联网的免费午餐

互联网的免费午餐，我一直都在吃。
最多的就是免费空间，毕竟像我这样的草根站长，花钱去搞个虚拟主机都是奢侈，更不要说VPS之流了。
只能靠这些个免费午餐填填肚子，不过质量好的真的是不多见.

首先说免费空间，最近忽然发现我的博客文章里面的一些贴图不能正常显示了。
我这个图床（或者说网络共享平台）是搭建在nginxadmin上面的，该免费空间服务一直很稳定。
提供不限空间，不限流量的存储空间，支持 ftp + mysql,更重要的是速度也很快.

不过有一点很恶心，就是会在每一个网页里面插入一段ad（弹窗式），虽然承诺一个ip每天显示一次，不过我还是不能忍受。
所以便把它做成了文件共享平台。nginxadmin从不能在文件流里面插入ad吧，哈哈

用了这么久，第一次出现问题。我便打开nginxadmin首页一看究竟，结果很是令我震精！

只见nginxadmin首页出现了几行小字，居然是停止服务的公告.如图：

天哪！他们的硬盘居然挂了！！怎么搞的？很庆幸我没有存入什么重要数据。
只是要去寻觅另外一个图床了，不过看来nginxadmin的免费是用到头了.

祸不单行，我又收到了火山互联给我的消息，内容是由于我没有经过“身份认证",我的VPS也被停掉了.
如图：

这样，刚上线两天的“小鑫论坛”再次下线，囧rz

话说回来，火山互联的这个免费VPS真的蛮不错的。可惜就是要什么“身份认证”，而且只针对企业用户。
要上传什么营业执照之类的，否则是用不长的.
如图:

我等个人用户还是另寻他处吧.

一日之内，连损两处空间。于是迫切的需要找到一个稳定、免费的空间了。
仔细想想，自己可用的空间还真没有。搜索了一下，大多都不行。

只有000webhost还可以，早些年申请过，貌似一直没通过，帐号依稀还记得。
本想登录后，按照网上的介绍，给客户提交一个ticket,可是进去一看，连域名都给我删了，日啊

于是用了某代理到该站又注册了个帐号，居然一次就激活了。兴奋呀
可是马上我又傻眼了，分配给我的居然是被墙掉的ip....(这个又不能换)

无奈删掉了该域名，打算再创建一个。提示要24小时后才可以操作。
无奈，等吧.

一天过去了，再次登录，创建新域名，恩，可以了。可是……泪奔了
如图：

又是一个墙内的ip,看来和概率的游戏有的玩了.

说完免费空间，再说说免费域名.
谈到这个，很多人都会想到 *.co.cc、*.uni.cc以及最近的*.co.tv 和 *.eu.tv.
不过很遗憾，这些域名不是被墙了，就是时不时的抽风.
我已经是彻底放弃了这些二级域名了（本人已经注销掉了持有的这些域名），还是花点钱买个顶级域名吧。

不过最近发现很多人在用*.tk的顶级域名.这个域名我以前用过，功能很单一，只能转发.
可是现在貌似功能多了起来。

所幸以前在dot.tk的帐号还记得，进去后注册了一个xiazhengxin.tk,居然可以自定义name server！！
这不就意味着……呵呵

把域名转到像everydns、zoneedit等类似免费的DNS服务商，就可以任意设置记录啦!

而且dot.tk 还开放了api，用户可以参照api给出的例子和说明(见:http://www.dot.tk/zh/pageE01.html)，让用户可以在自己的网站上开放*.tk域名的注册（不过前提得去申请一个api key）.

比如我的这个(处理页面现放在我VPS上，随时可用):

不过这样注册的功能很简单，有点类似于goo.gl 这样的域名减肥服务.

想要设置A、cname 等记录，建议还是去官网注册.

还有一点就是，当我满心欢喜的要去Google apps 注册个企业套件（标准版）的时候，发现居然不支持*.tk域名！
搜索了一下，发现谷歌是干掉了这域名,很多人以前注册过的都被干掉了。
见:http://www.google.com/support/forum/p/Google+Apps/thread?tid=4edca886add19a63&hl=en

杯具呀，看来只能用QQ 的域名邮箱了..

谈到了everydns，就再来谈谈免费DNS服务.
作为一个站长，应该经常要和这个打交道.

我想国内很多人用的都是everydns和国内的DNSPOD,至少我目前用的就是这两个.

不过现在有了新的选择，那就是freedns.ws.

这是我最近刚刚发现的免费大餐，支持大多数常见的记录,速度很快（我不想谈记录生效，因为那取决于记录的TTL值）.

还有就是DNSPOD的(请原谅我用dnspod来做比较)免费用户所不支持 @ 的cname记录。

众所周知，DNSPOD现在已经不支持域名根的别名记录了，以前设过的也不可以再修改了，如图:

如果需要添加该记录，就得升级为VIP用户...

曾就此问题多次向DNSPOD管理员交涉，要求增加这一功能。
不过，很遗憾。DNSPOD管理员对待这个问题，或者说是对待免费用户的态度让我很失望(聊天记录就不在这里公布了).
这显然不能让崇尚免费和平等的我容忍.
故而决定彻底和DNSPOD划清界限，并陆续把停靠在DNSPOD的域名托管到别处去.

用自己的实际行动抵制DNSPOD,抵制“免费用户不是用户”的荒谬言论,抵制这种藐视人权的不良心态.
看看，这都是市场垄断，一家独大导致的恶果呀！
试问，如果国内DNS服务商遍地可见，看他敢这么说话 :)

最后，再揭一下DNSPOD的短，直接看图:

这就是DNSPOD宣传的泛解析？原来只能设置 "*" 的泛解析,囧rz 等于没有...
还有就是传说的URL转发功能，也奇怪的消失了...
看来DNSPOD首页的宣传应该改改了.

呃，跑题跑到西伯利亚了……回来了
总之，本人吐血推荐使用freedns.ws。
试试看，真的很好用噢! 一点也不伤手哟

_END_

不花一分钱看遍beautyleg站

最近谷歌PageRank 更新，大家的站或多或少都更新了，而我依然是4。

我于是在想，这是为什么？难道是我博文的质量下降了？？还是我懒了,更新少了？

不管怎样，我得自我反省.

于是今天我决定把我刚刚发现的一个小的技巧分享出来，以期PR up up up !!!

这个方法是我刚刚在浏览beautyleg论坛(现已实行邀请注册)的时候，无意发现的。

当然不一定完全有用，在大都情况下应该是可行的.（显然标题有点过了 *_* ）

beautyleg是一个图站，顾名思义，应该是和美腿有关系的。
这是它首页的description ：腿模-美腿 美腿小舖之美腿名模 絲襪美腿 模特兒寫真 美女 內衣秀 美腿論壇

可是，和大多数的图站一样，它是需要付费会员身份的。否则，只能以一个游客身份，浏览一些sample....
而我的方法，就是可以从给出的sample推算出原始尺寸图片的url.

这样的话，就可以利用吸血雷等利器去批量下载整套。是不是很兴奋？哈哈哈

下面说我的方法:
打开beautyleg.com 首页（冷静点，朋友！不要鸡冻）,在右侧罗列着最新几期的模特的封面照。
选中一张，右击查看图片属性.如图:

请注意该图片的编号（也就是选中部分）,389号，好,记住它.

下面用它替换下面的url 中的###，也可以说389是实参，###是形参
http://photo.beautyleg.com/model/###-01.jpg

如图:

以 http://photo.beautyleg.com/model/389-01.jpg 访问到了该套组图的第一张原始图片(请注意图片分辨率).
下面的以此类推，不讲了.

ps: 该链接要感谢beautyleg论坛的斑竹 Tommy 以及 beautyleg无数的工作人员,是你们严谨的工作态度和严格的编号制度成全了这一切.
:)

当然，看完这篇文章，有些人可能是bs我的,因为我的这种行为严重的侵害了那些“正版”用户，也就是付费会员的利益.
我对此深表遗憾.
这些地方才是你应该去的，http://www.beautyleg.com/join.htm

最后我还要再次强调一点，该方法不能100%成功.我就遭遇过好几次404……
如果你的口袋还算丰满，还是请支持正版,支持付费模式.

用https代替传统访问

由于一个众所周知的原因，就是为了打击大量非法网站的建设，在清查了一遍全国的IDC后,中国电信（网通不清楚）陆陆续续的封掉了家用ADSL的对外80端口.目的只有一个，就是让动态域名+家用服务器的小型网站从这个星球上消失。

当然，整顿非法网站我不反对。因为据我的经验，这些个站长的素质（或者说是职业道德）普遍不高。他们的网站上大多充斥着恶意脚本和后台木马、病毒等.这些都是为广大网民深恶痛绝的。

所以说，于情于理也都应该清理掉这些互联网的污垢.

可是这也给我带来了困扰,就是我用自己家里的一台Windows Server 08 r2系统搭建的web + ftp 的网络共享平台，也受到了影响,当然只是web方面.

本来想换个端口吧，开始毕竟我的朋友中有些人是不习惯这么奇怪的url的，一定程度上影响他们的使用。
后来又想，要不直接用ftp，因为21、22、23 端口是不受影响的。不过，有些人的电脑没有ftp 客户端，而且还要花时间去教他们怎么用。费事费力，再次搁浅.

面对80端口的时不时的抽风，我忽然想到了用https连接访问的方法.对啊！这是个好办法。因为https默认端口是443.
而且http与https仅有一字之差，很难分辨.

主意一定，我便开始行动了.

因为我的apache是集成了mod_ssl(提供openssl库的接口)的，所以不需要单独去下载openssl套件.
首先进入apache所在的目录，如"c:\program files\apache software foundation\apache2.2\",确保/bin 下存在 openssl.exe 程序.
我所要做的就是生成*.key、*.crt 两个文件，一个证书key和一个自签名证书.
请注意，我生成的是自签名证书(self-signed SSL Certificate).为什么呢？

因为我不可能，也没必要去到什么Verisign、Thawte等机构去申请一个。我启用SSL访问的唯一原因是为了不走80端口,仅此而已.不用那么麻烦，而且需不需要费用和通不通过还说不准.

用官方的话来讲，也可以是测试目的,呵呵
开始动手,
进入命令行，把当前目录定位到apache的/bin 下,

先生成key:
openssl genrsa -des3 -out server.key 1024
记住输入的pass-phrase,启动apache要用到.
如果和我一样是windows系统的话，最好不要加入pass-phrase，因为windows 不支持内置短语.
启动apache会报"Error: SSLPassPhraseDialog built-in is not supported on Win32"错.

如果已经生成，可以用
openssl rsa -in server.key -out srv.key
去除掉pass-phrase.
ps:不要忘了注掉httpd-ssl.conf 下的SSLPassPhraseDialog.

之后生成证书:
openssl req -new -x509 -nodes -sha1 -days 365 -key srv.key -out server.crt -config ..\conf\openssl.cnf
ps:openssl config的路径可能会不一样.

最后，把bin目录下生成的srv.key(最好改下名)和server.crt 复制到别处，如C盘根目录下.

在apache 配置文件httpd-ssl.conf 下定义路径
SSLCertificateFile "C:/server.crt"
SSLCertificateKeyFile "C:/server.key"

再添加好virtuahost,重启apache.即可

如果像我一样，想彻底的抛弃http访问，一律使用https的话，可以考虑利用地址重写达到目的.
编辑httpd.conf文件，加入：
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

或者
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://cnserver.homeftp.org/$1 [R,L]

这样都可以了.
现在我就可以对电信的行为表示影响不大了,呵呵

更多SSL/TLS设置，参见:http://httpd.apache.org/docs/2.2/ssl/