平常在本地电脑上搭建PHP运行环境，我都喜欢使用WampServer。它安装简单，选择PHP版本和配置PHP扩展也方便。最近要调试Laravel框架，需要将WampServer默认的www根目录更改为Laravel的public目录。由于之前没有改过就从网上找了一下教程，结果还真是涨见识了。网上那些教程千篇一律，也不知转谁的？多久前发的？要到WampServer安装目录里找配置文件，还要更改好几个，操作麻烦。没敢按网上教程动手，仔细研究了一下，发现很简单。

　　WampServer使用的Web服务是Apache，它的配置文件是httpd.conf，只要更改它就可以了。在实地操作时我又发现Apache有虚拟主机设置，也就是有httpd-vhosts.conf配置文件。只要更改它里面的路径地址（或者新建虚拟主机），再重启一下服务即可生效。操作图示如下：

　　男人这辈子，总逃不了老婆孩子、房子和车子。先前也聊过车子对于家庭的重要性，所以买车、用车这事一直都是生活中比较重要的话题。许久没在博客上记录生活了，今天就再来聊聊车子吧！

　　先前买的豪爵铃木“海王星”摩托车，皮实、耐用，外观看上去也像电动车，所以日常在城市中穿行倒也顺利！父母年迈，以前生活在一起时不觉得怎样，自从搬家之后，距离远了，心也孤寂了，每个月总要带上孩子去看望一下。孩子成长很快，身高都要赶上我了，挤在摩托上非常不安全。所以，买汽车便被提上了日程。

　　其实想买汽车的心一直都有，先前“玩”自行车时，受上海“老秦”的影响，对于开车带老婆孩子出游甚为羡慕，但苦于当时收入不高，像“汽车”这样的大件，很难下狠心“娶”回家。再者和父母生活在一起，汽车除了出游倒也没有别的用处。羡慕归羡慕，也知道有汽车的好，但终没有行动。

　　2015年，因担心驾考政策变化导致考试难度加大，便去考取了驾照。非常顺利地拿到了驾照，但之后四年再没摸过车。

　　2016年初为了解决上班、孩子上学等一系列问题，在新城区买了房。买过之后，本地的房价就开始飞涨，庆幸下手及时！

　　2018年本田“机油门”爆发，优惠幅度大增，心动五代CRV。为何看中了CRV？其实原因很简单，以前邻居家买的就是CRV，所以印象比较深，了解得也比较多！身边有位同事也买了辆四代CRV，开了两年，赞不绝口！

　　CRV自1995年投产以来，至今已历经五代，是本田的主打车型，此车的特点就是车内空间大，皮实耐用。我比较喜欢一代和二代那种方正的外形，三代之后变圆润了很多，四代的屁股相当丑，很不喜欢！五代改款屁股好看了许多，前脸“大板牙”更为突出，加上菱形进气格栅，有如乐呵呵的一张笑脸。反观丰田家的车，极美极丑两极分化。皇冠、雷克萨斯都极为惊艳，而致炫、威驰、奕泽等活脱脱一张“狗”脸，欺负穷人么？与CRV同档次的RAV4，却改款成苦瓜脸。虽说外观因人而异，也无关重要，但是价格上却差别很大。RAV4是最新改款，没有优惠，内饰也一般。纠结了几天，放弃！

　　此次本田“机油门”主要出在1.5T车型上，所以选车时主看了2.0L自然吸气的混动车型。恰巧广本的“皓影”也出来了，又多了一种选择。 阅读全文…

　　一直很喜欢DNSPOD，它免费、操作简单、功能强大，最重要的是解析速度快。后来，在使用Google站长工具时，经常提示Google bot抓取网站内容失败，让我摸不清头脑。Google一下发现但凡出现这种情况的都是使用DNSPOD的解析。虽然我也弄不清原因，但觉得网站还是国内的用户多，所以还在坚持使用DNSPOD。 

　　腾讯收购DNSPOD之后，加入了一些收费功能。我的网站小，本身也不挣钱，所以也没在它上面花过钱。

　　最近出现一件很不爽的事，有个xxx.com.cn域名在申请Let’s Encrypt Authority通配符证书时，只能使用“DNS验证”的方式验证，而在DNSPOD中添加TXT记录“_acme-challenge.XXX.com.cn”却无法添加，提示“子域名级数超出限制”，经查发现DNSPOD免费版最多只能添加三级域名，超过三级个人用户收费360元/年。不知何时，DNSPOD已开始对我们穷人进行限制了？其实我只是想验证一下，用完即删！

　　今天抽空将DNS解析服务转移CloudFlare上，发现DNS解析速度更快，连网站浏览也比以前快了！

　　感谢DNSPOD让我薅了几年羊毛，再见！

　　近年来XSS攻击成为了主流，这种攻击原理很简单，黑客将精心构造的JS代码，通过留言或评论的方式提交到系统中，如果系统过滤不严，管理员在后台查阅时，代码就会被执行，登陆的Cookie就被窃取，黑客用此Cookie轻松登陆系统，然后上传木马、提权破坏等等。 

　　防范XSS攻击，主要在于严格过滤用户提交来的数据，对于PHP语言常用strip_tags、htmlspecialchars等函数来处理。但黑客的手段也千奇百怪，利用各种编码、BUG来逃脱过滤，防不胜防！专业的事要交给专业的人来处理，笔者一般喜欢使用htmlpurifier这款富文本HTML过滤器，它采用白名单机制，能有效过滤掉用户提交表单中的非法HTML标签，防范XSS效果明显！

　　当然，随着技术的进步，也有可能出现htmlpurifier过滤不了的情况，我们该想个应对的办法，如何让黑客拿到cookie也无法登陆呢？

　　分析系统登陆后发现，大多数的登陆过程都是验证过帐户名和密码之后，在Session中保存登陆成功的标志，然后生成Cookie，每次用户来访问，只要根据Cookie找到对应的Session，验证其中的标志即可。Session好比超市门口的储物柜，Cookie就是条码纸，如果条码纸被别人偷去了，小偷也可打开储物柜。如何防范单一的条码纸开箱？按近来年流行双重验证的做法，让储物柜在生成条码纸的时候，同时记下用户的特征码（如密码、手机号等），这样即使条码纸被小偷偷去，小偷也开不了箱。

　　按照这个思路，我们只要对系统稍稍改造即可！用户初次登陆，系统保存登陆成功标志到Session中的时候，同时记下用户的IP地址，然后用户每次请求验证的时候，拿现在的IP地址与Session中的IP进行比较，不符则验证失败，清除Session重新登陆！如此，黑客即使拿到Cookie，由于IP不符，也无法登陆成功！

　　参考代码如下：

1
2
3
4
5

<?php
//登陆验证成功后
$_SESSION['LoginAccess'] = 'TRUE';
$_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
?>

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php
//每次请求时验证
If ($_SESSION['LoginAccess'] == 'TRUE'){
	$ip = $_SERVER['REMOTE_ADDR']; 
	If ($_SESSION['IP'] == $ip){
		return true;
	}else{
		return false;
	}
}else{
	return false;
}
?>

　　附：在php中为Session的Cookie开启HttpOnly，让黑客获取不到Cookie也是个好办法。开启方法如下：
　　PHP5.2以上版本，打开php.ini 设置session.cookie_httponly = TRUE
　　或者在代码中开启：ini_set(“session.cookie_httponly”, 1);

　　wuhuaguo.org域名跟随了我八年，现如今的我由于工作繁忙早已没有写博的热情，所以自本月25日起弃用不再续费！为了能使本博客继续访问，启用了 http://wuhuaguo.lifeskillcn.com 二级域名。