CSRF简介

CSRF一种网站的攻击方式，黑客利用网站对用户的信任进行伪造请求进而发出非用户发出的请求
简而言之，伪造用户的身份发出表单请求

下面看一个例子：
一个网站用户Bob可能正在浏览聊天论坛，而同时另一个用户Alice也在此论坛中，并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下，Alice编写了一个在Bob的银行站点上进行取款的form提交的链接，并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息，并且此cookie没有过期，那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie，这样在没经Bob同意的情况下便授权了这次事务。

可见这对于用户或系统都是严重的破坏，造成用户利益损失，账户被盗等。

几种CSRF的防范方法

一、 在表单中加入一个cookie的Hash值

$value="someValueHere";
setcookie("cookie",$value,time()+3600);

安装PHP7

如果想要通过yum安装php7的话，根据你的centos的版本进行安装源的类型，从下面的地址进行选择
https://mirror.webtatic.com/
如果和我一样，是centos6选择https://mirror.webtatic.com/yum/el6/latest.rpm
如果是centos7的版本的话，选择https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
至于安装方式，也非常简单，centos6下面安装如下

rpm -Uvh https://mirror.webtatic.com/yum/el6/latest.rpm
centos7下面的安装方式

rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
然后就可以安装php7了，安装方式如下

负载均衡分配

根据ip轮询：

upstream backend {
    server 192.168.102.143;
    server 192.168.102.144;
}

根据ip的hash值分配（轮询）：

upstream backend {
    ip_hash;
    server 192.168.102.143;
    server 192.168.102.144;
}

根据权值分配：

upstream hello{
    server 192.168.102.143 weight=1;
    server 192.168.102.144 weight=1;            
}

最少连接数：

upstream hello{
    least_conn;
    server 192.168.102.143;
    server 192.168.102.144;            
}

对于大多数框架中，都会使用spl_autoload_register函数，而不使用__autoload函数

在官方文档的解释是这样的：

If there must be multiple autoload functions, spl_autoload_register() allows for this. It effectively creates a queue of autoload functions, and runs through each of them in the order they are defined. By contrast, __autoload() may only be defined once.

spl_autoload_register 可以很好地处理需要多个加载器的情况，这种情况下 spl_autoload_register 会按顺序依次调用之前注册过的加载器。作为对比， __autoload 因为是一个函数，所以只能被定义一次。

__autoload只能被定义一次，自然spl_autoload_register更好用

DDOS是一种通过大流量的请求对目标进行轰炸式访问，导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。

一般情况下，攻击者通过大量请求与连接使服务器处于饱和状态，以至于无法接受新的请求或变得很慢。

应用层DDOS攻击的特征

应用层（七层/HTTP层）DDOS攻击通常由木马程序发起，其可以通过设计更好的利用目标系统的脆弱点。例如，对于无法处理大量并发请求的系统，仅仅通过建立大量的连接，并周期性的发出少量数据包来保持会话就可以耗尽系统的资源，使其无法接受新的连接请求达到DDOS的目的。其他还有采用发送大量连接请求发送大数据包的请求进行攻击的形式。因为攻击是由木马程序发起，攻击者可以在很短时间内快速建立大量的连接，并发出大量的请求。

以下是一些DDOS的特证，我们可以据此特征来抵抗DDOS（包括但不限于）：
攻击经常来源于一些相对固定的IP或IP段，每个IP都有远大于真实用户的连接数和请求数。
备注：这并不表明这种请求都是代表着DDOS攻击。在很多使用NAT的网络架构中，很多的客户端使用网关的IP地址访问公网资源。但是，即便如此，这样的请求数和连接数也会远少于DDOS攻击。
因为攻击是由木马发出且目的是使服务器超负荷，请求的频率会远远超过正常人的请求。
User-Agent通常是一个非标准的值
Referer有时是一个容易联想到攻击的值

使用Nginx、Nginx Plus抵抗DDOS攻击

结合上面提到的DDOS攻击的特征，Nginx、Nginx Plus有很多的特性可以用来有效的防御DDOS攻击，可以从调整入口访问流量和控制反向代理到后端服务器的流量两个方面来达到抵御DDOS攻击的目的。

限制请求速度

sleep和wakeup

serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在，该方法会先被调用，然后才执行序列化操作。此功能可以用于清理对象，并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容，则 NULL 被序列化，并产生一个 E_NOTICE 级别的错误。
serialize — 产生一个可存储的值的表示。

__toString

__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串，否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

__invoke

当尝试以调用函数的方式调用一个对象时，__invoke() 方法会被自动调用。

__set_state

自 PHP 5.1.0 起当调用 var_export() 导出类时，此静态 方法会被调用。

本方法的唯一参数是一个数组，其中包含按 array(‘property’ => value, …) 格式排列的类属性。

__debugInfo

当尝试使用var_dump()打印出对象时，如果没有定义该魔术方法，PHP会打印出所有public，protected，private属性

PHP所提供的”重载”（overloading）是指动态地”创建”类属性和方法。我们是通过魔术方法（magic methods）来实现的。

当调用当前环境下未定义或不可见的类属性或方法时，重载方法会被调用。本节后面将使用”不可访问属性（inaccessible properties）”和”不可访问方法（inaccessible methods）”来称呼这些未定义或不可见的类属性或方法。

所有的重载方法都必须被声明为 public。

在给不可访问属性赋值时，__set() 会被调用。

读取不可访问属性的值时，__get() 会被调用。

当对不可访问属性调用 isset() 或 empty() 时，__isset() 会被调用。

当对不可访问属性调用 unset() 时，__unset() 会被调用。

默认的版本太低了，手动安装有一些麻烦，想采用Yum安装的可以使用下面的方案：

检查当前安装的PHP包

yum list installed | grep php

如果有安装的PHP包，先删除他们

yum remove php.x86_64 php-cli.x86_64 php-common.x86_64 php-gd.x86_64 php-ldap.x86_64 php-mbstring.x86_64 php-mcrypt.x86_64 php-mysql.x86_64 php-pdo.x86_64

在远程仓库一节中，我们讲了远程仓库实际上和本地仓库没啥不同，纯粹为了7x24小时开机并交换大家的修改。

GitHub就是一个免费托管开源代码的远程仓库。但是对于某些视源代码如生命的商业公司来说，既不想公开源代码，又舍不得给GitHub交保护费，那就只能自己搭建一台Git服务器作为私有仓库使用。

搭建Git服务器需要准备一台运行Linux的机器，强烈推荐用Ubuntu或Debian，这样，通过几条简单的apt命令就可以完成安装。

假设你已经有sudo权限的用户账号，下面，正式开始安装。

git server配置安装

第一步，安装git：

$ sudo apt-get install git

第二步，创建一个git用户，用来运行git服务：

$ sudo adduser git

第三步，创建证书登录：

花了一晚时间写了一个百度图片的爬虫，可以搜索任意关键字
python2.7对于中文的支持实在是十分之蛋疼
对于出现异常的情况处理的并不是很完美，等待后续处理
getImagesURL(max_number, word)

max_number是要抓取图片的数量，word是搜索的关键字