網絡技術日誌

關於 PHP, Linux, Open Source 及個人生活記載的網誌。

Entries for April, 2007

找出 Apache 設定檔

各個 Linux Distro 及 control panels 會將 Apache 的設定檔放到不同位置,另外自行編譯及安裝 Apache,預設值會將設定檔放在 /etc/httpd,但編譯時可以指定到其他的位置及檔案名稱。(預設的設定檔名為 httpd.conf) 以下是幾個找出 Apache 設定檔的方法: 1. httpd 指令: httpd -v | grep HTTPD_ROOT 2. find 及 locate 指令: 因為用 find 要等一段時間,所以建議在使用 find 指令前先試試用 locate 指令: locate httpd.conf 如果找不到的話,便要用 find 指令來找: find / -name ‘httpd.conf’ -print 3. cPanel 或 Plesk Control Panel 如果是使用 cPanel 或 Plesk [...]

Comments (2)

MySQL Patches — google-mysql-tools

Google 以 GPL 釋出 MySQL 資料庫工具 — google-mysql-tools。這個工具適合 MySQL 4.0.26,而 Google 預期很快會推出 MySQL 5 的版本。主要功能包括: * SemiSyncReplication – block commit on a master until at least one slave acknowledges receipt of all replication events. * MirroredBinlogs – maintain a copy of the master’s binlog on a slave * TransactionalReplication – make InnoDB and slave replication [...]

Leave a Comment

要對自己的投資決定負責

實際上不單止在投資的決域上,在任何時候自己當然要為自己的決定負責,但近來我收聽電台節目時,間中也有一些人指摘一些股評人的建議導致他們賠錢。 我並不覺得那些股評人或股票界人仕有什麼問題,因為他們只是給予建議,作最後決定的還是投資者自己。而且如果只是單單聽了一些股評人的介紹,或者在報章看看推介便可以投資獲利,相信很多人也會轉行做"全職炒家"。我身邊也有一個例子,我嬸嬸年多前看報章推介買了一隻股票,到現在賠了三成,她問我是否應該沽貨。我問她知不知道那上市公司從事什麼行業,她說不知道。 如果她買的是匯豐或者宏利,我肯定會叫他繼續持有,但她買那支股票我未聽過,只好說不知道。而且無論我給予她什麼建議,如果以後她有什麼損失,多數會向各親朋好友細說一番。在街市買餸也會看是否新鮮,為何花巨款買股票就那麼無所謂呢,如果想不做功課就投資,只好買像匯豐這類股票,起碼即使賠錢後,不過幾年又會創新高。 星期四股市下跌時,忍不住手買了江西銅 (358),公佈業績後最新市盈率只有七倍多,而且股息也有三厘以上。

Leave a Comment

錯失買入匯豐的機會

匯豐控股 <0005> 是香港人的愛股,有一個說法為 "有買貴,冇買錯"。早前匯控因美國次級按揭問題拖累,股價由高位 $152 跌到 $133,而實際上匯控的股價在 $140 以下已算吸引。但自己太貪心,希望可以等跌穿 $130 才買,結果就這樣錯失了買入的良機。 現在很多人不買匯豐,因為嫌每手入場費貴,而且升得慢,但我就覺得匯豐始終有她的好處,首先匯豐的業務是全球性,而且每年有四厘多股息,是長線投資組合的不二之選。錯過這次機會,還是等一等,機會總是有的。

Leave a Comment

UNIX 權限數值

在 UNIX like 環境中要改變檔案或目錄的權限,通常會用上代表權限的數值,例如: chmod 777 filename 以上指令是用 chmod 將檔案 filename 的權限改為 777,以下為權限數值的定義: 用戶      數值      結果 Owner: 0400 -> 檔案的 owner 只可以讀取檔案。 Owner: 0200 -> 檔案的 owner 只可以寫入檔案。 Owner: 0100 -> 檔案的 owner 只可以執行檔案;如果是目錄,則 owner 可以在目錄進行搜索。 Group: 0040 -> 用戶組的成員只可以讀取檔案。 Group: 0020 -> 用戶組的成員只可以寫入檔案。 Group: 0010 -> 用戶組的成員只可以執行檔案;如果是目錄,則 owner 可以在目錄進行搜索。 Other: 0004 -> [...]

Leave a Comment

CentOS 5 釋出

在 RedHat Enterprise Linux 5 釋出幾個星期後,基於 RHEL 5 的 CentOS 5 也已經釋出。如果不想向 Redhat 購買 RHEL,而又想合法地使用較 Fedora 穩定的 Linux 發行版,CentOS 是一個很好的選擇。 下載連結: Download links: Torrents CD/DVD ISO : i386 and x86_64

Leave a Comment

建構 Apache chroot 環境: ModSecurity

chroot (全寫為 change root) 是將整個 process 限制在指定目錄內的工具,這個限制的目錄一般稱之為 "監獄" (jail)。當使用了 chroot 後,當一個伺服器發生安全問題時,也不致於波及到整個系統。 在建立 chroot 環境的過程中,需要將一些伺服器程式要用到的 shared library 和各種系統工具複製,使它們以在 "監獄" 內工作。這些工作要完作一點也不容易,而 ModSecurity 就是使整個過程變得簡單。

Leave a Comment

2007 年垃圾電郵會比正常電郵多

這個也不會有什麼意外,因為現在每天所刪除的 spams 已經比正常電郵多。這份調查報告:Spam to overtake human-issued e-mails in 2007 顯示了垃圾電郵所帶來的問題,以及提出了在 2007 年八月開始,將會首次垃圾電郵會比正常電郵 (human-to-human) 還要多。 雖然現在的 anti-spams 軟件已經進步了不少,只可能面對各式各樣的垃圾電郵,真有點無能為力的感覺。很多垃圾電郵已經不顧郵件看上去如何,或者是否有拼錯字,只要發送出去而又避開 anti-spams 系統,並加上自己的網址就算數。很難想像再過幾年後的情況,是否電郵信箱內都塞滿了一堆垃圾郵件,只有一兩封有用的電郵。

Comments (1)

差點遺忘了的羽毛球

以前讀書時很喜歡打羽毛球,但當開始工作後,已經很久沒有打過,就連運動也少得可憐。今天和女朋友去 Yoho Town 打了一個小時,不夠二十分鐘已經喘氣。唉,現在的體力已經大不如前,以前可以連續打幾小時也沒問題。 雖然是氣力不繼,但打完後出了一身汗還真是舒服,這讓我想到另一個問題,就是自己的健康。現在才二十多歲就這樣,真不知以後怎算,我想還是多點注意飲食及多做運動。雖然知道跑步很健康,但自己覺得很悶,可能以後少開點車,多點行路,又或者一些球類運動更能喚起興趣。

Leave a Comment

PHP Paypal framework: phpPaypalPro

phpPaypalPro 是一個用 PHP5 開發的 object-oriented framework,使用 PHP5 內建的 SOAP extension 與 Paypal 的 Soap Server 進行互動。它可以簡單地整合 Paypal 的Website Payments Pro SOAP 1.1 API。這個 framework 使用上很容易,只要簡單幾行便可以執行各種交易操作。 現時最新版本為 0.2.0,支援的功能有: – DoDirectPayment – SetExpressCheckout – GetExpressCheckoutDetails – DoExpressCheckoutPayment – TransactionSearch – GetTransactionDetails

Leave a Comment

PHP 過濾器: PECL Input Filter

過濾用戶輸入一直也是 web 應用很重要的安全工作,在 PHP 內除了自行編寫過濾特別字符串的程式外,也可以用現成的 PECL extension: Input Filter extension。要使用這個 extension 需要在 shell 輸入以下指令安裝: pecl install filter 以下例子假設有一張表單,裡面有兩個欄位: name, age 及 email。而我們希望 name 會用字串;age 是數字;email 就是電郵格式,那麼便可以這樣做: PLAIN TEXT PHP: <?php $clean = array();   $clean['name']  = filter_input(INPUT_POST, 'name',  FILTER_VALIDATE_REGEXP, array('regexp' => '^[w ]+$')); $clean['age']   = filter_input(INPUT_POST, 'age',   FILTER_VALIDATE_INT); $clean['email'] = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL); ?> 以上會使用 [...]

Leave a Comment

檢查 CGI 安全漏洞

CGI 全寫是 Common Gateway Interface,CGI script 可以用系統支援的程式語言編寫,例如 C/C++ 及 Perl 等。而 CGI 在系統上是有可執行,也就是說任何人也可以透過網站執行惡意指令,例如查看系統檔案及shell access 等。 而大多數的漏洞也是因為沒有檢查用戶的輸入,而讓惡意攻擊者透過 web 執行指令,例如以下 URL: http://host/cgi-bin/query?%0a/bin/cat%20/etc/passwd以上的 (%0a) 是開新一行, (%20) 是空格,那便這句 URL 便會透過 /bin/cat 開啟 /etc/password 檔案。 除了開啟系統檔案外,系統也可能被當成 Denial of service (DoS) 的工具: http://host/cgi-bin/ncommerce3/ExecMacro/macro.d2w/%0a%0a..(aprox 1000)..%0a 所以在編寫 CGI 時要特別注意安全的問題,以下是一些建議: -- 不要隨便讀取用戶的輸入,即使必要也需對特別的字串做過濾。 -- 不要用 eval 建立執行指令字串。 -- 使用 popen() 及 system() 時要謹慎。 -- 關閉 [...]

Leave a Comment

預訪 phpBB Spambots

phpBB 這個開放源碼的論壇有流行,但它最大的問題是漏洞太多,其中一個較大的問題是 spammers 會利用論壇發送 spams。以下是一些可以預訪 phpBB Spambots 的 mods: -- Disable spambots -- Stop Spambot Registration -- Block Open Proxy Registrants -- Configure Member Profile Required Fields

Comments (1)

試玩 User Mode Linux

現在虛擬化 (virtualization) 技術越來越流行,而且也會是未來一個吹勢,趁這幾天假期開始動手裝起來試試。簡單來說,User Mode Linux 就是在 Linux 裡面建構一個虛擬環境來執行另一個 Linux,將 Linux Kernel 當作當成普通的 Linux process 來報行。這對於要進行一些系統測試十分有用,因為可以避免現有系統造成破壞。 在虛擬 Linux 所使用的硬碟空間是實體機機器內的一個檔案,也可以自訂虛擬機器可以使用的硬件裝置,而在虛擬裡面是不可以存取或修改實體機器。 在看了 Samba Hong Kong 的教學影片 "User Mode Linux And Simple Linux (粵語) " 後,一步一步照著做起來一點也不難,可能是有人帶著做的關係。另外 User-mode Linux Kernel 站內也有很多有用的資訊,接下來的幾天要繼續學習一下。

Comments (1)

三月入的股票

上月股市從高位調整了二千多點,我便趁這機會買了以下股票: 廣深鐵路 <525> 中石油 <857> 建設銀行 <939> 工商銀行 <1398> 中國銀行 <3988> 現在這些股票都有利潤,尤其建行及中石油。再加上經 IPO 抽到的 1500 股中銀香港 <2388>,現在持有六隻股票。日後還是等跌市的機會,希望可以多吸納一點優質股票,快點實現財務自由這個目標。 富人不喜歡金錢,他們只喜歡資產,而資產往往亦會為他們帶來金錢;窮人只喜歡金錢而不愛資產,更喜歡以賤價將資產賣給富人。

Leave a Comment