代码层防御领域驱动的安全性

SQL注入之所以发生，是因为我们的应用程序不正确的将数据在不同表示方式之间进行映射

通过将数据封装到有效的值对象中，并限制对原始数据的访问，我们就可以控制对数据的使用

使用过参数化语句

动态SQL（或者将SQL查询组装成包含受用户控制的输入的字符串并提交给数据库......

OWASP的全称是Open Web Application Security Project，开放式网络应用安全项目，官网在https://www.owasp.org/index.php/Main_Page

OWASP组织最近一次正式发布TOP10是在2013年，官网介绍页面是https:/......

感觉拷贝来一些插件什么的，有的设置和快捷键，自己看的时候知道，但是不常用的话，过些天再一看手生了，也就忘记了。

有一些很有用的技巧，得写下来，放着，以备自己忘记了，再来查看。

高亮当前光标的位置，横着的一条，竖着的一条，省的自己满屏幕找光标在哪

mapleader设置为空格，有效利......

SQL盲注利用寻找并确认SQL盲注

无效数据将返回通用错误页面而非详细错误，这时可通过包含副作用比如时间延迟来确认SQL注入，还可以拆分与平衡参数。如果数字字段为5，就提交3+2或者6-1；如果字符串参数中包含"MadBod",就提交‘Mad’||'Bod'

......

参考了不少书籍和网站，最终形成一个自己觉得顺手的vim配置文件，存在github的gist了，有兴趣的朋友可以看看，交流交流。

.vimrc

.vimrc.bundles

要相关插件都正常工作的话，需要手动执行的一些操作如下：

mkdir ~/.vim

touch .vimrc......

最近在学习VIM的使用，在命令行里输入vimtutor可以打开基本教程，然后跟着练习一个一个做下来，也算是入门了。不过因为没有时刻都在用，所有有时候有的命令就忘记了。于是把教程中的每一课的summary都翻译成中文，保存下来，供以后查阅。

第一课 摘要

1. 光标移动使用箭头或者hjkl四......

Dropbox创始人在2013年的MIT毕业典礼的演讲

youtube video:

看完之后，我的一句话评论：Go get your tennis ball.

大意这么理解：有很多遛狗的人可能都这么玩，用网球遛，当你抓着球做出准备丢的动作的时候，你家狗的双眼会目不转睛的盯着球，......

简介

初步了解和实践了一下用python写个爬虫，有现成的库，学起来的方便。

用的爬虫框架是：scrapy 官网链接

参考的网页是：Segmentfault.com的这篇文章

我的代码存放在：GitHub link

新增加的技能点

基本了解scrapy的用法，爬虫的最......

重点看了攻击方面的内容，防御没怎么看，我觉得在攻击方面的知识没有消化理解的话，可能防御类的知识也会比较糊涂，决定过一段时间，自己实践过sql攻击之后，有了一些理解，再来学习防御，会有收获。

计划：去ichunqiu学习学习sqlmap的使用，之前简单学习过，这次得找个站练练手，至少成功实践一......

一句话总结About Steve Jobs

做人做事，不为钱，只惟心

高度专注，有所失，为极致

About Google

It's meaningless if not 10x times faster

对一句话总结的注释如下

看完乔布斯传，被其个人魅力所折服，又去下载了20......