我在很多文章中读到，我们应该在散列之前为每个密码组合一个唯一的盐，并将盐存储在数据库中以供验证，但是如何使用密码本身作为盐呢？这样做会有好处，因为每个盐都是独一无二的，而且它会被隐藏起来，因为它不会存储在任何地方。上面我可以给出的一个简单例子是:$hashToStore=sha1(strrev($password).$password);上面我只是反转密码并将其用作盐(我将做一些更复杂的事情然后只是在开发中反转它。)这是一种更好的密码存储方式，还是一种不好的做法。PS:我完全了解php最新的内置函数，例如crypt()并在现实世界中使用它，但仍希望对上述内容进行审查。

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visitthehelpcenter指导。关闭9年前。我发现在我的系统上“error_reporting”被关闭了。所以我打开它(E_ALL)，现在我有很多错误。如果你对我的错误感兴趣:Notice:Undefinedindex:pagein…path/file.phponline22Notice:Undefinedoffset:1in…path/file.phponline49Notice:Undefine

我有两个关于函数include的优化问题。使用单个php文件并包含它好还是使用几个小文件并包含它们更好？哪个会更快？例如，我使用带有mysql_connect和所有数据库连接内容的PHP文件。然后我在需要的时候包含它。但是，只在需要时编写代码而不包含任何内容会更快吗？此外，如果有人知道实际数字，我会加分。 最佳答案 差别很小。Don'trepeatyourself.不要一遍又一遍地将连接信息放入每个文件中。包括在您的情况下听起来不错。停止使用mysql_*()。使用PDO或MySQLi反而。您在谈论微观优化，而开始考虑面向对象编程可

我是php新手，我想弄清楚这是个坏主意还是安全风险。我有一个提供给用户的数据表，它有一个加载的默认样式表，但如果用户想要包含他们自己的样式表，我已经做到了，这样他们就可以指向他们的样式表:http://www.mysite.com/info.php?css=http://www.someothersite.com/mystylesheet.css我已经尝试在css文件中添加关闭样式标签和javascript，但DOM似乎只是将其加载为它无法处理的CSS。我从未见过任何其他站点允许使用这种添加样式表的方法，那么，这是好主意还是坏主意？我想我可以让脚本加载文件并查找javascript中使

我的客户有一个friend在做“安全测试”，他告诉他们我为他们构建的PHPZendFramework应用需要在浏览器端做这些事情:隐藏位置栏、工具栏、书签、菜单和后退/前进按钮禁用右键单击这显然是一个非常糟糕的主意。我已经指出，它隐藏了站点受SSL保护的事实，浏览器是否接受这些请求是可选的，而且真正的破解者无论如何都会找到绕过它的方法，因为它是客户端黑客。除了这个想法不好之外，还有可能吗？我所做的基本测试表明这仅在版本7之前的ie中是可能的，而在Firefox、Safari和Chrome中根本不可能。这家伙坚持认为在这些浏览器中是可能的，我仍在等待概念证明。这可能吗？在弹出窗口或同一窗

是否有可能从此重写(ApacheMod-Rewrite)一个URL:http://www.example.com/view.php?t=h5k6到这个http://www.example。com/h5k6这次重写的原因是URL需要非常短(有点像一个微型URL服务)。那个新URL是否仍会访问我的view.php页面？它是否仍然能够使用super全局数组GET($_GET)来访问变量t？我仍然希望我的index.php页面映射到这个http://www.example.com.我也很感激对这可能产生的影响的评论，因为我有点菜鸟。:)谢谢大家 最佳答案

首先是的——这是主观的。我最近注意到一些库似乎在某些类中使用让用户标记监听器方法作为监听器使用不同的注释来记录不同的事件。Infinispan和WELD就是这种方法的例子。我讨厌这种模式的地方没有类型安全需要阅读doco以找出事件的正确类型签名，而不仅仅是实现。对于实现者来说，这会非常困惑，因为他们需要更多的支持代码来发现和验证提交的监听器类、保留该方法并分派(dispatch)它等。反射分派(dispatch)的东西使触发事件变慢。当然，可以使用ASM生成一个真正的类，但与触发一个简单的listener.onEvent相比，这需要做更多的工作...可能的原因使细粒度的监听器成为可能。

我有一个Future，我想知道它的状态。我想到的是这样的代码:try{//Isthatagoodidea?Countingonexceptionslooksweird.future.get(0,TimeUnit.MICROSECONDS);this.status=DONE;}catch(InterruptedExceptione){Thread.currentThread().interrupt();throwThrowables.propagate(e);}catch(ExecutionExceptione){this.status=FAILED;}catch(TimeoutExce

因此，我正在尝试将来自消息传递网络上的用户的消息写入文件。我正在尝试使用良好的Java实践和适当的文件IO技术来构建这个程序。目前，我的程序识别出有人发布了一条消息，获取该消息并立即将其写入文件。创建文件对象，创建writer对象，附加消息，然后关闭文件。如果传入的消息不多，这似乎是个好习惯，但如果有快速的对话流，这似乎很慢并且需要很多不必要的操作，因为文件将立即再次打开。然后我想如果我只是让文件保持打开状态并在消息到达文件时写入消息，然后定期关闭它会怎么样。这是好的做法吗？让文件长时间打开？例如一个小时后或写入一定量的数据后？现在，我想我应该获取消息，将它们存储在“缓存”(如字符串数

我有一个网络服务调用来获取授权token并将其用于后续的网络服务调用。现在我们之前所做的是，每当我们调用任何Web服务时，我们首先创建tokenWeb服务，然后调用实际的Web服务。获取token的方法如下图。基本上这段代码所做的是调用网络服务来获取token并使用GSON解析响应并获取token。publicstaticStringgetAuthTicket(){StringauthTicket=null;HttpResponsehttpResponse=getAuthResponse();Stringbody;if(httpResponse.getStatusLine().getS