甘霖老母赶羚羊
作者:admin 日期:2007-12-31
让广告代码不再影响你的网页加载速度
作者:admin 日期:2007-12-28
eWebEditor编辑器的安全漏洞
作者:admin 日期:2007-12-28
今天帮一个朋友清除了Z-Blog里的一个系统漏洞。
早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。
经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。
首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。
其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。
早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。
经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。
首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。
其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。
301重定向的实现方法
作者:admin 日期:2007-12-28
页面永久性移走(301重定向)是一种非常重要的“自动转向”技术。
301重定向可促进搜索引擎优化效果
从搜索引擎优化角度出发,301重定向是网址重定向最为可行的一种办法。当网站的域名发生变更后,搜索引擎只对新网址进行索引,同时又会把旧地址下原有的外部链接如数转移到新地址下,从而不会让网站的排名因为网址变更而收到丝毫影响。同样,在使用301永久性重定向命令让多个域名指向网站主域时,亦不会对网站的排名产生任何负面影响。
302重定向可影响搜索引擎优化效果
迄今为止,能够对302重定向具备优异处理能力的只有Google。也就是说,在网站使用302重定向命令将其它域名指向主域时,只有Google会把其它域名的链接成绩计入主域,而其它搜索引擎只会把链接成绩向多个域名分摊,从而削弱主站的链接总量。既然作为网站排名关键因素之一的外链数量受到了影响,网站排名降低也是很自然的事情了。
301重定向可促进搜索引擎优化效果
从搜索引擎优化角度出发,301重定向是网址重定向最为可行的一种办法。当网站的域名发生变更后,搜索引擎只对新网址进行索引,同时又会把旧地址下原有的外部链接如数转移到新地址下,从而不会让网站的排名因为网址变更而收到丝毫影响。同样,在使用301永久性重定向命令让多个域名指向网站主域时,亦不会对网站的排名产生任何负面影响。
302重定向可影响搜索引擎优化效果
迄今为止,能够对302重定向具备优异处理能力的只有Google。也就是说,在网站使用302重定向命令将其它域名指向主域时,只有Google会把其它域名的链接成绩计入主域,而其它搜索引擎只会把链接成绩向多个域名分摊,从而削弱主站的链接总量。既然作为网站排名关键因素之一的外链数量受到了影响,网站排名降低也是很自然的事情了。
Windows IIS下论坛静态化分析
作者:admin 日期:2007-12-28
这两天研究Discuz 4.1,并成功地将原来一个Discuz 2.5的论坛升级到了最新版本,个人感觉这个论坛实在不错。
我的Discuz 4.1是在Apache+Php+Mysql下运行的,并开启了Url Rewrite,之后我发现整个论坛的大部分页面都可以使用html的静态地址方式来访问,感觉真不错,Apache实在太强大了,难怪现在用Apache的站点那么多。
IIS下能否也实现这种静态化功能呢,我知道Helicon开发了一个叫ISAPI_Rewrite的ISAPI程序,可以在IIS下实现Url Rewrite功能,不过我自己还没有尝试过,过两天按照下面的操作测试一下看看效果如何。另外,下文Discuz提供的ZIP文件里的Rewrite.dll实际上就是Helicon的ISAPI_Rewrite程序,我对Discuz做为软件开发商居然也盗版同行的软件感到遗憾。
参考文章:Discuz!4.1.0 IIS Rewrite配置方法(转自DISCUZ会员区)
Discuz! URL静态化功能受到论坛所在服务器环境的制约,在开启此功能之前,请根据你的Web服务器环境,选择相应的环境配置方法,以下提供的iis6下的服务器配置..其它服务器(如apache,zeus)你可以根据原理自行配置。
我的Discuz 4.1是在Apache+Php+Mysql下运行的,并开启了Url Rewrite,之后我发现整个论坛的大部分页面都可以使用html的静态地址方式来访问,感觉真不错,Apache实在太强大了,难怪现在用Apache的站点那么多。
IIS下能否也实现这种静态化功能呢,我知道Helicon开发了一个叫ISAPI_Rewrite的ISAPI程序,可以在IIS下实现Url Rewrite功能,不过我自己还没有尝试过,过两天按照下面的操作测试一下看看效果如何。另外,下文Discuz提供的ZIP文件里的Rewrite.dll实际上就是Helicon的ISAPI_Rewrite程序,我对Discuz做为软件开发商居然也盗版同行的软件感到遗憾。
参考文章:Discuz!4.1.0 IIS Rewrite配置方法(转自DISCUZ会员区)
Discuz! URL静态化功能受到论坛所在服务器环境的制约,在开启此功能之前,请根据你的Web服务器环境,选择相应的环境配置方法,以下提供的iis6下的服务器配置..其它服务器(如apache,zeus)你可以根据原理自行配置。
十种接近疯狂的站长
作者:admin 日期:2007-12-28
解决网站大流量问题的策略
作者:admin 日期:2007-12-28
个人博客由于访问量过大而引起服务器性能问题,这是很多人的烦恼,有人使用取消RSS的方法来解决问题,显然是下错药,那么对于网站大流量带来的问题,正确的解决方法应该是什么呢?下面是我个人总结的一些经验,供大家参考。
首先,确认服务器硬件是否足够支持当前的流量。
普通的P4服务器一般最多能支持每天10万独立IP,如果访问量比这个还要大,那么必须首先配置一台更高性能的专用服务器才能解决问题,否则怎么优化都不可能彻底解决性能问题。
其次,优化数据库访问。
前台实现完全的静态化当然最好,可以完全不用访问数据库,不过对于频繁更新的网站,静态化往往不能满足某些功能。
首先,确认服务器硬件是否足够支持当前的流量。
普通的P4服务器一般最多能支持每天10万独立IP,如果访问量比这个还要大,那么必须首先配置一台更高性能的专用服务器才能解决问题,否则怎么优化都不可能彻底解决性能问题。
其次,优化数据库访问。
前台实现完全的静态化当然最好,可以完全不用访问数据库,不过对于频繁更新的网站,静态化往往不能满足某些功能。
一百个最有用的网站地址
作者:admin 日期:2007-12-28
此文为翻译英国卫报的科技频道的2006年12月21日的一篇文章,文中列举了一百个最有代表的英文网站,有一定参考价值,翻译过程中将部分Google的英国网站uk转换为国际网站com地址。以下是全文。
两年前,大多数英国人没有使用过宽带网络,Web 2.0也刚刚进入开发人员的视野,这一切在2006年发生了巨大变化。
在2004年,互联网和现在是不同的,例如,那时没有youtube,而大部分英国人没有宽带上网,而现在,一切发生了戏剧性的变化,现在,超过75%的用户拥有宽带连接,而已经到来的Web2.0带来的用户和网站的互动就如同操作自己机器上的软件一样,所以我们要重新“百里挑一”地选择出当年最有用的网站。
这些网站有些有了新的发展,有些则经受了时间的考验,一如以往,我们有20大类总共100个地点地址。当然,并不意味着这些站点你都会喜欢(就算你所说的博客),你可以通过电子邮件为我们提供的宝贵建议,我们会将好的网站列入。
自从上次评选之后诞生了很多新类型,当年的很多站点至今依然存在,而且还是依然那么有用,有一种类型消失了,例如手机类,主要原因是传输速度跟不上带宽。
两年前,大多数英国人没有使用过宽带网络,Web 2.0也刚刚进入开发人员的视野,这一切在2006年发生了巨大变化。
在2004年,互联网和现在是不同的,例如,那时没有youtube,而大部分英国人没有宽带上网,而现在,一切发生了戏剧性的变化,现在,超过75%的用户拥有宽带连接,而已经到来的Web2.0带来的用户和网站的互动就如同操作自己机器上的软件一样,所以我们要重新“百里挑一”地选择出当年最有用的网站。
这些网站有些有了新的发展,有些则经受了时间的考验,一如以往,我们有20大类总共100个地点地址。当然,并不意味着这些站点你都会喜欢(就算你所说的博客),你可以通过电子邮件为我们提供的宝贵建议,我们会将好的网站列入。
自从上次评选之后诞生了很多新类型,当年的很多站点至今依然存在,而且还是依然那么有用,有一种类型消失了,例如手机类,主要原因是传输速度跟不上带宽。
在HTML文件引入其它HTML文件的几种方法
作者:admin 日期:2007-12-28
在论坛中常常有网友问到,可以在一个html的文件当中读取另一个html文件的内容吗?答案是确定的,而且方法不只一种,在以前我只会使用iframe来引用,后来发现了另外的几种方法,那今天就总结这几种方法让大家参考一下。
1.IFrame引入,看看下面的代码
--------------------------------------------------------------------------------
<IFRAME NAME="content_frame" width=100% height=30 marginwidth=0 marginheight=0 SRC="import.htm" ></IFRAME>
--------------------------------------------------------------------------------
1.IFrame引入,看看下面的代码
--------------------------------------------------------------------------------
<IFRAME NAME="content_frame" width=100% height=30 marginwidth=0 marginheight=0 SRC="import.htm" ></IFRAME>
--------------------------------------------------------------------------------
防止垃圾留言的两大利器
作者:admin 日期:2007-12-28
垃圾留言(Comment Spam),对于Blogger而言,实在是大敌。我自己就深受其害,每天都要删除一大堆的有关Casino、Poker、Porn等等的带着一长串链接的留言。今天更是夸张,一个Spamer竟然用程序在我的博客上疯狂留言六百多条,因此,我不得不寻找防止垃圾留言的低成本而高效的方法。功夫不负有心人,我终于找到两个好方法,并成功应用到我自己的博客上。
首先,确认码(Security Code)是一种行之有效的防范方式——采用图像方式显示确认码(Security Code),系统通过判断留言者输入的确认码正确与否来认定留言者是真实的人还是机器人——这种方式不会出现判断失误的情况。通过程序将无法大量散发垃圾留言,因为采用人工智能来识别确认码的成本极高,垃圾留言者肯定无法做到。
其次,使用NoFollow标签来对抗垃圾留言,这其实是Google开发的成果,Google利用一种新型标签淘汰垃圾评论链接,使用该属性,网站主可以限制搜索引擎跟踪某一链接。在链接标签中显示为:rel="nofollow"。这样做的目的,是为了阻止搜索引擎去搜索那些博客站上垃圾性的、不想被索引的评论。如果超链接有NoFollow的属性,Google在对搜索结果进行网站排列时,这些链接不会算入。对于blog程序来说,只要将comments里出现的所有链接自动加上 rel = “nofollow” 的属性就可以实现了。
很多人为了获得指向自己网站的导入链接,因而大量在留言板、BBS发贴,这对于搜索引擎来说属于垃圾链接。如果站主设置了这样的限制,搜索引擎就知道不用去索引那些链接。
当然NoFollow这个方法属于一刀切的方式,如果设置了NoFollow,所有的评论链接都不会被Google索引,这对于正常留言者来说有一点点不公平了。不过现在国内垃圾留言如此地猖狂,我就只好“乱世用重典”了。
首先,确认码(Security Code)是一种行之有效的防范方式——采用图像方式显示确认码(Security Code),系统通过判断留言者输入的确认码正确与否来认定留言者是真实的人还是机器人——这种方式不会出现判断失误的情况。通过程序将无法大量散发垃圾留言,因为采用人工智能来识别确认码的成本极高,垃圾留言者肯定无法做到。
其次,使用NoFollow标签来对抗垃圾留言,这其实是Google开发的成果,Google利用一种新型标签淘汰垃圾评论链接,使用该属性,网站主可以限制搜索引擎跟踪某一链接。在链接标签中显示为:rel="nofollow"。这样做的目的,是为了阻止搜索引擎去搜索那些博客站上垃圾性的、不想被索引的评论。如果超链接有NoFollow的属性,Google在对搜索结果进行网站排列时,这些链接不会算入。对于blog程序来说,只要将comments里出现的所有链接自动加上 rel = “nofollow” 的属性就可以实现了。
很多人为了获得指向自己网站的导入链接,因而大量在留言板、BBS发贴,这对于搜索引擎来说属于垃圾链接。如果站主设置了这样的限制,搜索引擎就知道不用去索引那些链接。
当然NoFollow这个方法属于一刀切的方式,如果设置了NoFollow,所有的评论链接都不会被Google索引,这对于正常留言者来说有一点点不公平了。不过现在国内垃圾留言如此地猖狂,我就只好“乱世用重典”了。
