图片来源:http://gitready.com/beginner/2009/01/21/pushing-and-pulling.html

　　Jsp或者Java Web开发中通常用 Java 的 Graphics 绘制验证码图片然后用ImageIO输出为Jpg等格式的图片再通过Session来验证输入内容与验证码内容的一致性。

　　具体代码和步骤如下：

　　1.生成验证码的Servlet

　　2.web.xml中添加上面Servlet的映射信息

　　3.在前台界面中调用此Servlet

　　直接点击图片更换验证码。

（转载请指明出处）

OAuth是什么？

先来简单介绍一下OAuth授权协议：OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时，任何第三方都可以使用OAuth认证服务，任何服务提供商都可以实现自身的OAuth认证服务，因而OAUTH是开放的。业界提供了OAuth的多种实现如PHP，JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAuth是简易的。目前互联网很多服务如Open API，很多大头公司如Google，Yahoo，Microsoft等都提供了OAuth认证服务，这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。

OAuth的授权流程

你所开发的应用需要流程如下：

1. 向应用服务商（新浪、搜狐等微博）请求request_token。
2. 得到request_token后重定向用户到服务商的授权页面。
3. 如果用户选择授权你得应用，用request_token向服务商请求换取access_token。
4. 得到access_token等信息访问受限资源。

而服务商相应的响应如下：

1. 创建request_token返回给应用。
2. 询问用户是否授权此应用。如果用户授权重定向用户至应用页面。
3. 创建access_token并返回给应用。
4. 响应受限资源请求并返回相关信息。

通俗点的说法就是“你拿着你得身份证明（request_token）向服务商申请进入用户家的门钥匙（access_token），服务商询问用户同不同意，如果用户同意服务商就给你进入用户家门的钥匙（access_token），拿到钥匙后你就可以进到用户家里”。

OAuth授权的Java实现

作为一个开放协议目前有很多现成的Oauth库可供开发者使用，可以点击这里下载。不过有精力有时间的话还是自己去实现一下OAuth授权的流程，可以很好的体会OAuth认证协议的原理。以

下面就是我使用Java实现Oauth的具体步骤，代码很简单，如果有画蛇添足的地方还望高手一笑而过。

一、获取Request_token

首先得准备一下参数及其来源：

1. oauth_consumer_key —— 注册应用后由应用服务商提供
2. consumer_secret —— 注册应用后由应用服务商提供
3. oauth_callback —— 用户授权后的返回地址
4. oauth_nonce —— 随机字符串，须保证每次都不同
5. oauth_timestamp —— 时间戳
6. oauth_signature_method —— 签名base string 的方法，目前支持 HMAC-SHA1
7. oauth_version —— Oauth协议版本

还需要下面三个请求地址（这些地址任何一个提供OAuth的服务商都会提供给你，看下API文档就会找到）：

1. requst_token_url —— 上面第1步中的请求地址
2. authorize_url —— 上面第2步的请求地址
3. access_token_url —— 上面第3步的请求地址

至于如何注册应用，新浪微博点此，网易微博点此，腾讯微博点此，搜狐微博需要你发邮件索取，具体看这里。注册成功后就会获得oauth_consumer_key 和 consumer_secret 两个参数。

oauth_callback 起的作用是当用户授权成功后服务商会把用户重定向到这个网址。

oauth_nonce 是一个随机字符串下面是我的生成代码：

public String set_nonce() {
String base = "abcdefghijklmnopqrstuvwxyz0123456789";
Random random = new Random();
StringBuffer sb = new StringBuffer();
for (int i = 0; i < 18; i++) {
int number = random.nextInt(base.length());
sb.append(base.charAt(number));
}
return sb.toString();
}

oauth_timestamp 是请求的时间戳，我的代码如下：

public String set_timestamp() {

Date date = new Date();
long time = date.getTime();
return (time + "").substring(0, 10);
}

需要说明一下的是这里的时间戳为10位而不是13位，因此截取0-10位置。

其他参数直接指定就行了。

接下来，有了这些参数就可以组装base string了。准备base string的目的就是为了得到 oauth_signature 这个参数，这个参数向服务商发送请求的时候需要用到。

组装的方法是用下面8部分

1. POST（也可以是GET，取决于你应用服务商支持哪个）。
2. Urlencode之后的requst_token_url 。
3. oauth_callback=Urlencode之后你的oauth_callback（Urlencode的参数为“utf-8”）。
4. oauth_consumer_key = 你的oauth_consumer_key 
5. oauth_nonce = 你的oauth_nonce 
6. oauth_signature_method = 你的 oauth_signature_method 
7. oauth_timestamp = 你的oauth_timestamp 
8. oauth_version = “1.0”——目前大多数OAuth都采用的是1.0或1.0a版本。

下面是我的Java实现代码：

public String set_basestring() throws UnsupportedEncodingException {
String bss;
bss = oauth_request_method + "&"
+ URLEncoder.encode(requst_token_url, "utf-8") + "&";
String bsss = "oauth_callback="
+ URLEncoder.encode(oauth_callback, "utf-8")
+ "&oauth_consumer_key=" + oauth_consumer_key + "&oauth_nonce="
+ oauth_nonce + "&oauth_signature_method="
+ oauth_signature_method + "&oauth_timestamp="
+ oauth_timestamp + "&oauth_version=" + oauth_version;
bsss = URLEncoder.encode(bsss, "utf-8");
return bss + bsss;
}

有了base string就可以签名生成oauth_signature这个参数，oauth_signature会在请求request_token的时候用到。签名算法是HMAC-SHA1，签名的key就是最开始的consumer_secret后加一个&号，签名算法代码如下：

public String hmacsha1(String data, String key) {
byte[] byteHMAC = null;
try {
Mac mac = Mac.getInstance("HmacSHA1");
SecretKeySpec spec = new SecretKeySpec(key.getBytes(), "HmacSHA1");
mac.init(spec);
byteHMAC = mac.doFinal(data.getBytes());
} catch (InvalidKeyException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException ignore) {
}
String oauth = new BASE64Encoder().encode(byteHMAC);
return oauth;
}

里面用的的BASE64Encoder这个类可以Google一个。

得到oauth_signature后就要开始向 requst_token_url 发送请求了，OAuth规范定义了三种传递OAuth参数方式：

1. httpheader中
2. url中
3. post form中

国内各大微博的支持情况是：新浪Httpheader可用,网易Httpheader可用，腾讯只支持在url，搜狐由于没有appkey所以还没去尝试。

如果使用Httpheader传递参数头名为“Authorization”，值为下面的格式，将值改为自己应用的。

OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0"

url和post form两种方式的参数名和参数值也即上面的，完全一样。

请求发送成功后就会得到的响应如下：

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true

可以看到响应里面已经包含oauth_token和oauth_token_secret了，存贮之以备后面使用。

二、用户认证

拿到了oauth_token之后就需要用户对此oauth_token授权，也即对你的应用授权，具体做法就是发送oauth_token到服务商并请求用户对此oauth_token授权：实现方法为以oauth_token和oauth_callback为参数请求oauthorize_url，Servlet中的代码如下：

resp.sendRedirect(oauthorize_url+"?oauth_token="+oauth_token+"&oauth_callback="+oauth_callback);

 这是用户就被带到了应用授权页面，并可以选择是否对该应用授权。如果用户授权之后就会被带到oauth_callback 地址。同时如果需要服务商会给oauth_callback返会一个名为oauth_verifier的参数（此参数用于无法跳转的桌面应用，不一定每个微博平台都会返回），这时候我们的oauth_token已经获得用户的授权了。

三、用oauth_token换取access_token

这一步跟第一步“获取Request_token”基本相同，也是需要准备 base string 对其签名，然后发送请求，可以参考第一步的代码实现：但是相应的参数有所不用，具体来讲就是第一步组装base string 时候8个部分中第二个部分中的url换为access_token_url 并去掉oauth_callback加上oauth_token（如果有oauth_verifier的话也需要一并加上），组装好之后需要签名以得到oauth_signature，本次签名的方法跟上次一样，但是key变为consumer_secret和oauth_token_secret以&连接的串。

下来需要向access_token_url发送请求，请求参数包括base string 里的除了请求方法（POST或GET）和请求地址外的所有参数及其值和签名后生成的oauth_signature。例子如下：

OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0""

请求成功会服务商就会返回oauth_token和oaut_token_secret，这里的oauth_token和oaut_token_secret就是真正访问资源要用的access_token。

还需要说明的是以上过程只需要经行一次，就是说你拿到的access_token是不会过期的，除非用户手动将授权收回，因此作为access_token的oauth_token和oaut_token_secret要保存起来，以后访问受限资源的时候可以直接使用。至于如何访问受限资源，等以后有时间了再补上。

（本文系原创，转载请注明出处）

第24步如下：

也就是说，这些行为都是进程间通信。一台WEB服务器在硬件、操作系统不变的情况下，它的性能主要取决于socket通信的速度。如果所有进程都在一台服务器上的话，这个速度就取决于通信的效率了。

例如与MySQL数据库交互时，程序会调用驱动程序来访问数据库，这个驱动程序主要做这几件事：

 1.创建socket，连接到MySQL。
2.将程序调用的API翻译成SQL语句，通过socket发送给MySQL；MySQL执行后，将结果发送回来；驱动程序将结果（字符串）传给程序，如有需要，还可以自动翻译成程序能识别的变量类型（如整型）。
3.断开连接。

可见连接的速度、翻译的速度和接受响应的及时性是最主要的3个方面。

 弄明白这点后就不难发现，与数据库的执行时间相比，这些只是很少的一部分；而且PHP和Python使用的都是C实现，而JDBC是用Java实现，所以根本不必担心PHP和Python的性能。不过在翻译方面还存在算法和实现上的差异，客户端还可以缓存一些语句，所以仍然会出现一些性能上的差异。为证明我的想法，我特意去测试了一番。

首先列出测试平台：

• CPU：Intel Core2 Duo T9400 @ 2.53GHz
• 内存：3GB
• 操作系统：Windows XP Pro SP2
• MySQL：5.1.36
• Java：1.6.0_17-b04
• JDBC：MySQL Connector/J 5.1.10
• PHP：5.2.11 (cli)
• MySQLi：5.2.11.11
• Python：2.6.4
• MySQL-Python：1.2.3c1

所用的库都是最新版的，也都采用了最为推荐的库。
但数据库并没有使用最新的稳定版，因为我懒得重下了。5.4.3-beta测试版也试过，在连续插入时，性能比5.1快1～2个数量级，估计是服务器端缓存和设置的原因。

测试项目：

• 创建100万个随机数，并生成插入这些随机数的SQL语句。
• 连接本地数据库，如不成功，尝试创建数据库。
• 删除并创建数据库表，引擎类型为InnoDB，主键为自动递增的整数，此外有个浮点型的字段（无索引）。
• 分成100组，每次插入1万个随机数。（因为每组的执行量都很大，因此启用自动提交事务。）
• 用SELECT COUNT(*)统计小于0.1的随机数个数。（约10万个）
• 用SELECT *取出再统计大于0.9的随机数个数。（约10万个）
• 将所有0.4～0.5之间的随机数加1。（约10万个）
• 将所有0.5～0.6之间的行删除。（约20万个）
• 断开数据库连接。
• 再次连接数据库。

每种测试3次（等硬盘灯无闪烁后才进行下一次测试），取最好的一次作为测试结果：

java：

• 测试数据量：1000000
• 测试引擎：InnoDB
• 共有99465个小于0.1的随机数
• 共有99859个大于0.9的随机数
• 创建随机数：2.367840
• 初次连接数据库：0.220420
• 再次连接数据库：0.013174
• 初始化数据库和表：0.075140
• 插入：12.139346
• 选择（COUNT）：1.130345
• 选择：1.017769
• 更新：6.173245
• 删除：9.380070
• 关闭连接：0.002131
• 总时间：32.506307

php：

• 测试数据量：1000000
• 测试引擎：InnoDB
• 共有99898个小于0.1的随机数
• 共有100152个大于0.9的随机数
• 创建随机数：1.506294
• 初次连接数据库：0.003146
• 再次连接数据库：0.001808
• 初始化数据库和表：0.131754
• 插入：12.046944
• 选择（COUNT）：1.236742
• 选择：1.238153
• 更新：6.115232
• 删除：8.145547
• 关闭连接：0.000125
• 总时间：30.423937

Python（MySQLdb）：

• 测试数据量： 1000000
• 测试引擎： InnoDB
• 共有100040个小于0.1的随机数
• 共有100351个大于0.9的随机数
• 创建随机数： 1.6822107279
• 初次连接数据库： 0.0332120423126
• 再次连接数据库： 0.00221704155137
• 初始化数据库： 0.131054924578
• 插入： 11.7999030603
• 选择（COUNT） 1.27067266929
• 选择： 1.16714526567
• 更新： 6.29200638629
• 删除： 8.13660563005
• 关闭连接： 0.000131022238861
• 总时间： 30.5129417286

Python（_mysql）：

• 测试数据量： 1000000
• 测试引擎： InnoDB
• 共有99745个小于0.1的随机数
• 共有99869个大于0.9的随机数
• 创建随机数： 1.68099074044
• 初次连接数据库： 0.0112056141213
• 再次连接数据库： 0.00159293988482
• 初始化数据库： 0.130169616529
• 插入： 12.1364623157
• 选择（COUNT） 1.125517908
• 选择： 0.968366649951
• 更新： 6.8042843434
• 删除： 8.9760508668
• 关闭连接： 9.61015995031e-05
• 总时间： 31.8331441566

可以看到，在大批量数据测试中，Java是最慢的，而PHP是最快的。
不考虑IO性能的波动的话，Java主要慢在连接和关闭数据库。JDBC 4.0在第一次连接数据库时会动态加载驱动，非常耗时，因此使用Java要记住使用数据库连接池，避免连接浪费大量时间。当然，这也造成了数据库的负担，势必影响内存占用。而创建随机数的算法实现各不相同，所以不具备可比性；令我惊讶的是SELECT的翻译速度，将字符串转换成浮点数居然慢于Python，要知道后者的浮点数可是对象。
PHP连接数据库非常快，所以完全无需使用连接池，因为维护连接池会增加复杂性。
Python的表现和PHP差不多，但是第一次连接数据库比较慢（仍比Java快1个数量级）。如果不用连接池，则使用FCGI等方式来运行比较合适。_mysql模块的通信很快，但更新和删除操作却不太理想，也许是IO性能波动的原因。此外，我在连接数据库时使用了转换参数，实际上我用的语句都不需要翻译，不使用的话会更快一点。

接着试试小数据，改成最常用的MyISAM引擎，插入100条（1组）。一般的应用不可能一次插入那么多，所以足够满足平时的应用了；而且由于数据量很小，也基本不受IO影响。

测试结果：

java：

• 测试数据量：100
• 测试引擎：MyISAM
• 共有9个小于0.1的随机数
• 共有10个大于0.9的随机数
• 创建随机数：0.001596
• 初次连接数据库：0.224135
• 再次连接数据库：0.018656
• 初始化数据库和表：0.055601
• 插入：0.001476
• 选择（COUNT）：0.000529
• 选择：0.000433
• 更新：0.000304
• 删除：0.000313
• 关闭连接：0.000927
• 总时间：0.285314

PHP：

• 测试数据量：测试数据量：100
• 测试引擎：MyISAM
• 共有12个小于0.1的随机数
• 共有9个大于0.9的随机数
• 创建随机数：0.000649
• 初次连接数据库：0.008077
• 再次连接数据库：0.001609
• 初始化数据库和表：0.060421
• 插入：0.001860
• 选择（COUNT）：0.000580
• 选择：0.000465
• 更新：0.000326
• 删除：0.000373
• 关闭连接：0.000127
• 总时间：0.072878

Python（MySQLdb）：

• 测试数据量： 100
• 测试引擎： MyISAM
• 共有14个小于0.1的随机数
• 共有9个大于0.9的随机数
• 创建随机数： 0.000198907961766
• 初次连接数据库： 0.0334640296462
• 再次连接数据库： 0.00150577796899
• 初始化数据库： 0.0123194428342
• 插入： 0.00125211444471
• 选择（COUNT） 0.000581079438867
• 选择： 0.000484139744018
• 更新： 0.000250311142897
• 删除： 0.000262323842835
• 关闭连接： 7.98984228442e-05
• 总时间： 0.0488922474784

Python（_mysql）：

• 测试数据量： 100
• 测试引擎： MyISAM
• 共有12个小于0.1的随机数
• 共有10个大于0.9的随机数
• 创建随机数： 0.000214273043082
• 初次连接数据库： 0.0118774872225
• 再次连接数据库： 0.00123702872851
• 初始化数据库： 0.0315031659052
• 插入： 0.00120322554962
• 选择（COUNT） 0.000596165155069
• 选择： 0.000507327048549
• 更新： 0.0002447238406
• 删除： 0.00026148574749
• 关闭连接： 5.78285787719e-05
• 总时间： 0.0464656820909

从结果可以看出，虽然差距都很小，但Python仍然稍微占优。不过Java的SELECT操作稍微胜出，而这也是实际应用中最常使用的操作。

再从语言方面来看，Python无疑是写得最欢畅的，生成随机数只用了1行代码；PHP的变量要写个$让我老是出错，不过数据库操作不需要处理异常，这点节省了很多代码；Java的代码量很大，而且不得不使用很多try...catch，我甚至懒得以安全的方式将close()放在finally块里面，因为它也会抛出我根本懒得去管的异常，且会提示我计时变量可能没有初始化。

总体上来看，Google放弃Python，只采用C++和Java是有点不明智。因为页面响应时间主要在于数据库通信和磁盘文件IO上，语言的影响基本忽略不计。

本文转自keakon的blog 原文地址：http://www.keakon.cn/bbs/thread-1858-1-1.html

6.防止图片盗链。

大多数虚拟主机和VPS都是限制流量的，而图片往往会消耗绝大部分流量。我们在希望自己文章被更多人访问和传播的同时又不得不去面对图片链接带来的巨大流量。所以防止图片外链是绝对必要的。

解决：修改 .htaccess 文件添加以下代码，之前一定记得备份。

RewriteEngine On
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your "don't hotlink" image url
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
 

修改完成之后只有你的网站可以引用图片，而其他外部引用都会被替换为nohotlink.jpg 文件。你可以在nohotlink.jpg 里展示版权信息。当然你也可以指定替换为一个不存在的文件。

7.创建一个插件来阻止恶意请求。

黑客往往使用恶意查询来修着博客的薄弱点用来攻击，虽然WordPress自身有比较完善的防护机制，但也不是没有提高的余地。

解决：创建一个文本文件粘贴以下代码，并保存为 blockbadqueries.php 。上传到你博客的wp-content/plugins文件夹下，进入后台开启这个插件。

<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/

global $user_ID;

if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
}
?>

修改后如果有过长请求（超过255个字符）或者URI中存在PHP函数就会返回一个414错误。

8.删除你的WordPress版本号，切记！

WordPress会在头文件里显示版本号。告诉攻击者你版本号往往意味着他们可以少走很多弯路，为了不让他们长驱直入为什么不隐藏版本号呢？

解决：粘贴如下代码至 functions.php 文件，保存并刷新你的博客。

remove_action('wp_head', 'wp_generator');

现在看，是不是没有版本号了。

9.修改默认管理员名。

蛮力攻击是破解一个密码最简单的办法之一。 该方法很简单：尽可能多的尝试不同的密码。如果他们知道的用户名，他们只需要破解密码。 这就是为什么你应该改变默认的“管理员”用户名——“admin”的原因。请注意，WordPress的3.0版本会让您选择您想要的默认用户名。 但是这个方法依然适合3.0以前的版本。

解决：打开数据库执行如下SQL语句，“Your New Username”为你想修改的用户名。

UPDATE wp_users SET user_login = 'Your New Username' WHERE user_login = 'Admin';

修改后使用新的管理员名户名登陆。

10.防止目录浏览。

默认情况下，大多数主机允许目录列表。 因此，如果在浏览器的地址栏键入www.yourblog.com/wp-includes，就会看到在该目录下的所有文件。 这无疑是一个安全风险，因为黑客可以看到上一次进行了修改的文件并访问它们。

解决：修改 .htaccess 文件添加以下代码，之前一定记得备份。

Options -Indexes

注意修改后并不会影响用户正常的访问这些文件。

via:smashing

（本文原创翻译，转载请注明：出自小耳朵博客www.littlear.com）

 免费天气预报短信？？去看看

1.删除错误提示。

当我们登录WordPress后台失败时会显示错误信息。如果有人想攻击你的博客那么他们会从错误提示里得到很多有用的信息，我们需要做的就是不显示任何信息。

解决：打开 functions.php  文件并添加如下代码：

add_filter('login_errors',create_function('$a', "return null;"));

这段代码可以让返回的错误信息为空。

2.使用SSL。

如果你担心数据泄露或被截获，那就使用SSL连接方式吧。但是之前请确保博客主机支持SSL，如果不支持请直接跳过本条。

解决：打开 wp-config.php 文件（一般位于根目录）添加以下代码：

define('FORCE_SSL_ADMIN', true);

我们定义了FORCE_SSL_ADMIN常数，其值设置为true。这样就在WordPress里开启了SSL。

3.用.htaccess 保护配置文件。

 WordPress用户都知道wp-config.php文件的重要性，它保存了所有的配置信息：用户名、密码等等。所以控制对 wp-config.php 的访问权限就变得尤为必要。

解决：在修改.htaccess文件前请先备份，然后打开并粘贴下面代码：

<files wp-config.php>
order allow,deny
deny from all
</files>

 修改后会拒绝任何对 wp-config.php 文件的访问。

4.建立访问黑名单。

 是不是常被一些垃圾评论制造者所烦恼？如果是，需要做的就是屏蔽他们的IP，让他们再也无法访问你的博客。

解决：修改.htaccess文件添加以下代码，事前别忘备份。

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
deny from 93.121.788
deny from 223.956.789
deny from 128.456.780
</LIMIT>

 修改后上面这些IP就会被限制访问。

5.防止脚本注入。

脚本注入往往用来窃取用户信息，如果攻击者一旦得逞大多数情况下造成的损失很难挽回。

解决：依旧是.htaccess 文件添加以下代码，事先备份。

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

修改后所有的请求都会被检查是否包换脚本段，如果包含就会拒绝请求返回403错误。

后5点请看参阅下篇文章。

via:smashing

（本文原创翻译，转载请注明：出自小耳朵博客www.littlear.com）

 免费天气预报短信？？去看看

1.菜单——选项——“默认搜索引擎”后面的管理。

2.输入一个名称，关键字，关键字对应的网址。下图以本博客为例：

3.确定保存，然后再浏览器地址栏输入123回车就可以直接访问www.littlear.com了。

大家可以将自己常用的网址也设置一个比较简短好输入的关键字。这样打开它们就很方便了。

（本文系原创，转载请注明出处：出自小耳朵博客www.littlear.com）

 免费天气预报短信？？去看看

1、体现每一篇博文的最大价值
    作为一名优秀的blogger,你不能仅仅在有时候提供有价值的博文，而是使你写的没一点文字都具有其应有的价值，不管你是为了写作而发表博文，还是为了提高博客的更新频率而去写博文，你必须保证你的每一个字都有价值，而不能是单纯的文字堆砌。当我在写我的博客时，不论是我自己的文章还是读者的投稿，我都会尽全力去展现一篇文章的最好价值。
我是一个追求个性的人，渴望与众不同。你是否曾经想过你为什么要去写博客，除了用来赚钱或是有一个业余工作，你还会有什么原因呢？我写博客的目的是因为它是我的一种追求，我可以通过博客与广大的网友交流，可以帮助朋友们解决一些特定的问题。我的每一篇博文都会是以个接触他人生活的机会，如果通过X各文字可以传达一种信息，那么我就写X个文字，日过需要花费X个小时，那么我就会花费X个小时，在文字的质量上没有打折扣的余地。

    当然，不是所有的博主都把写博客当做自己的使命，而且你也鄙视必须那么去做，在这一点上没有对与错，你只需要搞清楚你为什么去写博客，然后按照自己的目的去写好自己的每一篇博文就够了。

    对于一篇博文是否有价值没有严格的定义。它可以长，可以短，可以是列表，摘要或是故事的形式，博文中可以穿插文本、图片、视频文件或是他们的组合，它可以具有娱乐价值、教育目的或是它们的组合。如果你的一片博文能促进别人的生活，那么它就具有价值了。

这里有几个问题你需要搞清楚：
(1)你的博客阅读群体主要是那些人？
(2)为什么它们需要从你的博客中获得帮助？
(3)你的博客通过什么去留住读者？
(4)你怎样写博文才能更好的帮助读者？
(5)我通过什么方式可以使读者在不同的条件下都可以指知道你的博客？

2、要比别人更勤奋
    你开车吗？如果你开车那就好极了。如果你不开车，那么在5分钟之正在内设想你自己在开车，假如你正在一条普通而宽敞的大道上行驶。你连续踩住油门几秒钟，然后你的车就会达到一个你需要的速度。然而当你停止加速时，你的车就会慢慢的停下来。

    使你的博客成为一个顶级的博客就像开车一样。你不能成天只想着自己的读者会增加而不去做任何努力。你需要做的是勤奋的写作，当然是写高质量的博文，去赢得读者对你的信赖。我始终相信自己的努力和结果是成正比的。

3、言行要保持一致
    爱因斯坦曾经说过：“例子不是另外一种的教育方法，它是唯一的教育方法”。

    当你成为一名优秀出色的的博主时，你就可能成为了他人的榜样。作为一个博主，你直接或间接的会成为读者的楷模，你所做的或所说的会影响其他的人，也许比你想象中的还要深刻，你的读者追寻你的建议或指导。所以，如果你的言行一致至关重要。

    是一个博客变成个人优秀博客不仅仅是只通过写文章来达到这个水平。你需要做的是与广大的读者进行沟通，去了解他们的生活，指导他们会遇到什么样的问题，然后寻求出解决的办法，帮助别人做的更好，排除别人生活中遇到的种种困难。

4、博文中不要说“请”字
    你的博客是向读者传递信息，而不是要求别人怎么去做。你要知道，不管你写的什么内容，总会有人与你又不同的观点。

    普通的博主一般都会要求读者们去干什么。他们对读者所想知道以及所能接受的东西进行了过度的分析。但是作为一名优秀的博主，你不能那样做。你也许不会避讳的去发表带有争议性的话题，你所写的只是你所认为的，即使有很多的人不同意你的看法。当然，当你发现自己错了的时候，你也没有必要感到害怕。

5、揭示事情的真相
    我见过两种类型的博主：一种是我认为是天才的博主，他们总是写出事情的真正原貌，写的踏踏实实，这些博主比如说有Darren Rowse 和 Leo Babauta等人，我对他们很是欣赏和钦佩。另外一种是喜欢吹嘘的博主，他们总是喜欢夸大事情的真相，歪曲事实，我不知道你对这类人的看法，反正我是对他们敬而远之的。

    读者是很睿智的，你在最初也许可以骗取他们的认可，但是时间长了，他们就会发现你所说的有许多都不符合事实，那么他们毫无疑问会对你失去信心。作为一个出色的博主，你不能浮夸，你不能撒谎，你不能过度的宣扬或是过度的承诺。我把这当做是对读者的一种尊敬。你描述事实的本身，你就是很诚实和可信赖的，你的读者就会长期的信任你。

本文转自晨露博客，原文地址：点击

         离线RSS是通过客户端直接向新闻网站或其托管RSS服务商请求数据，所以很大程度上避免了在线RSS更新不同步的缺点，并且省去了我们去Google Reader之类在线阅读网站的过程，因而相比在线RSS来的更稳定，就像我就经常打不开Google Reader的条目（可能是我的网速比较烂吧），用离线RSS阅读器就不用这么闹心了。

        不过离线RSS的新闻只能存贮与一台电脑，无法在多台电脑上同步要阅读的信息，当然了你可以用本博推荐过的网络存储软件SugarSync来实现同步，只需要把离线RSS阅读器的安装目录同步。

        GreatNews是一款小巧免费的离线RSS阅读器，支持中文。下载地址点击。我比较喜欢三栏的界面

        第一次GreatNews可以导入从Google Reader导出的OPML文件，完成之后就可以将Google Reader中已经订阅的Feed直接导入GreatNews，避免了重复去添加。过程如下：

        1.Google Reader——阅读器设置——导入/导出——将订阅导出为 OPML 文件  得到 google-reader-subscriptions.xml 文件。

        2.GreatNews——工具——从OPML/XML文件导入频道——选择之前得到的XML文件。

        这些步骤完成后既可以将Google Reader中的订阅条目完美复制到GreatNews之中了。GreatNews相比在线RSS还有很多优势：内建浏览器，自动拦截弹出窗口、可订制关键字自动加亮 、可给新闻加标签 （GMail的Label）等。如果您的网速不适合在线RSS， GreatNews还是很值得一试的。

（本文系原创，转载请注明出处：出自小耳朵博客www.littlear.com）

 免费天气预报短信？？去看看