杨福川图灵 -

O’Reilly In a Nutshell系列图书体例分析

erway — Sun, 27 Apr 2008 14:58:00 GMT

In a Nutshell系列图书通过深入的调研、严格的体例设计和精细的内容安排，充分挖掘了市场定位和目标读者的根本需求，在图书体例上具有创新性和突破性。对实用性功能的精良实现使其获得了极高的认可度。

为什么翻译类计算机图书的质量这样差

erway — Sat, 12 Apr 2008 23:47:00 GMT

作为一种传统的知识载体，图书仍然是大家传播和学习知识的主要工具。为了紧跟技术趋势的发展和迎合读者的需求，国内出版社在IT的中高端领域和新兴技术领域引进了很多国外的经典著作。国外的确有很多书写得很棒，但是翻译成中文后，却让人不敢恭维，这就是目前很多读者反映的国内引进版技术图书翻译得很差的问题，这的确也是客观存在的事实。

O’Reilly Cookbook系列图书体例分析

erway — Tue, 08 Apr 2008 21:51:00 GMT

本文旨在分析O’REILLY Cookbook系列图书的体例特征，力图找出Cookbook系图书的体例特征和内容组织特点，从而为国内同体例类图书的写作（组织内容的形式和方法）提供参考依据

PHP 5范例代码查询辞典——PHP 5 Recipes: A Problem-Solution Approach

erway — Sat, 05 Apr 2008 14:41:00 GMT

本书出版后，在国际社区内好评如潮：本书填补了市场空白，布局谋篇和文笔都非常好，叙述思路和代码解释都很清晰，作者富有经验，是程序员必备之作。——Slashdot.com我太喜欢这本书了，尤其是作者组织知识点的方式，学习和查询都非常方便，真希望其他编程语言图书也能达到这样的水平。所附实例代码质量很高。强烈推荐本书，决不要错过！——Amazon.com对于中级PHP程序员和有其他编程语言经验的PHP初学者而言，本书堪称完美。——PHPDeveloper.org

如何解决不可信输入带来的安全问题

erway — Thu, 14 Feb 2008 10:46:00 GMT

通常，当程序接受并且使用来自不可信数据源的输入时，就有安全漏洞问题。看看telnet守护程序（Windows中的术语是服务）telnetd，该程序使用DARPA设计的TELNET协议提供远程终端访问服务。这个守护程序通常以超级用户（管理员）的特权运行，并且可以从远端接受环境变量的值，这些环境变量允许远端用户指定一些设置，例如编辑器和打印机的偏好以及终端设置等。但是，有一些环境变量会从根本上改变程序运行的方式。特别是以下这些，PATH环境变量指定了某些函数，例如popen，搜索程序的目录列表；IFS指定了命令行解释器在解析命令行输入时将哪个字符视作空格；而LIBPATH则指定了寻找动态库的目录列表。所有这些环境变量都可以被恶意设置，欺骗特权程序去以提升了的权限运行恶意代码。为了避免这些问题，本书提供的源代码集中的telnetd程序的代码特别设计了一个函数，该函数会从用户提供的（不可信）环境中剔除可能会被误用的值（见图3-7[1]）。这种方法被称为黑名单（blacklisting），在安全领域通常来说是一种不太合适的策略。因为在列出可能会被利用的元素时，很容易就会漏过一些。

影响应用程序安全的API函数大曝光

erway — Wed, 13 Feb 2008 10:00:00 GMT

在检查代码、清除安全漏洞的时候，有一个值得关注的目标就是一些经常会被误用而导致程序有漏洞的API函数。其中的一部分函数（例如在3.3节研究的access系统调用，以及C库函数strcpy）的接口本质上就是不安全的。这些年来，很多这种问题API已经被更加安全的替代品取代了。然而，为了保持向后兼容，这些不安全的函数仍然存在。另外，替代的函数通常是特定于操作系统的，因此比原来的不安全函数的可移植性差。另外一些函数，尽管它们本质上不是不安全的，但是通常会被不适当地用在安全关键的环境中（没有经过有针对性的设计），或者使用的方式太过随意，容易被恶意用户利用。最后，有些函数，例如tmpfile、getpass、getopt和syslog，通常就实现得容易被攻击。尽管其最新的实现是安全的，但是并不一定总是能够保证在你检查的系统上运行着的就是正确的版本。在后续各小节中，我们将研究一些具有代表性的API问题。

O’Reilly 08年1月计算机新书点评

erway — Fri, 01 Feb 2008 23:28:00 GMT

无论是Ajax还是Ruby，它们都是2006年的热门，它们曾在技术社区内引起了很大的轰动，同时也为国内的计算机图书市场增添了几分热闹。在“当当网2007年度图书畅销榜”（取前100名）中，Ajax类图书销售的前二名分别是《Ajax实战》和《Ajax基础教程》，分别排第21名和第23名；ROR类图书只有1本上榜——《Programming Ruby中文版（第二版）》。在“互动网2007年度销售排行榜”（前100名）中，Ajax类图书只有一本上榜，即《Ajax实战》，排名90；ROR类图书只有《The Ruby Way（中文版）》上榜，排名73。从这些销售“战绩”来看，这两类图书的销售情况远不如人们的预期，尤其是ROR类图书，近乎有些让人“失望”，这也许是为什么07年国内没有更多的此类书出版的原因吧。

脆弱代码是如何“炼”成的

erway — Wed, 30 Jan 2008 13:42:00 GMT

软件安全性是一个复杂又独特的难题。可以用最弱环现象（weakest-link phenomenon）[1]来描述软件安全性，不管你为系统的一部分提供的保护有多么完善，如果另一部分有安全漏洞，而你又碰上一个顽强的对手，那么你所有的努力都将付诸东流。相比之下，为满足其他非功能性软件需求，如为了让软件更加可移植、可靠、可用或者高效而采取的每个步骤，都将对最终的结果有着积极的作用。另外，只有根据需求才能正确判断安全性，在不同环境中需求的差别是很大的。同样的代码在某个环境中（例如，受防火墙保护的关系密切的用户团体）可能被认为是安全的，但是在另一个环境中（例如，互联网）则是不安全的。在查找代码的漏洞时，忽略可以被攻击者任意修改和部署的代码（这种代码显然是不可信的），而将精力集中在可能会导致安全问题的代码，这样做可以提高效率。这样双管齐下，可以很快淘汰代码中不相干的绝大部分，把注意力集中在可能会被利用的有安全漏洞的代码上。在本节，我们将讨论如何分离出有危险的完整程序，而在3.7.4节中将研究如何分离出一个程序中的一部分。

一个使用Ajax技术的Struts应用程序经典示例（含所有代码）

erway — Fri, 25 Jan 2008 00:56:00 GMT

这个DAO类与非Ajax的DAO类没有什么区别，甚至与非Struts应用程序中的DAO类也没有区别。这个类的主要功能是从数据库中获取数据，因为它是基于Ajax技术的，会返回XML。作为一种良好的编程习惯，这个DAO类应该返回一个String或者StringBuffer对象。应该在一个独立的帮助器类或者代理类中实现到XML的转换（但是，在这里我们不会研究面向对象设计模式）。

Ajax内部机制深度剖析——Web开发者必读

erway — Wed, 23 Jan 2008 09:46:00 GMT

Ajax不是单一的技术，这一点本章前面已经提及。要记住，Ajax与Java或者.NET没有什么直接的关系。可以编写Ajax代码（使用JavaScript语言）与任何类型的后端代码进行交互——比如Java、.NET、PHP或者其他技术。从技术角度来看，Ajax给我们带来的最大好处是有助于提升Web应用程序的处理速度。Ajax从如下三个方面实现这个目标：◆更好地利用浏览器缓存。◆ 把网络请求压缩到一个数据包中，以缓解网络延迟问题。◆不要求服务器处理整个页面，进而降低服务器的负载。

Ajax与Web 2.0和Ajax与SOA——什么地方应该使用Ajax

erway — Tue, 22 Jan 2008 21:28:00 GMT

下面列出Ajax技术也许能够体现其价值的几个地方。►表单：这是首选的。基于Web的表单的处理速度是很慢的！Ajax可以动态地提升Web表单的性能，对于这一点应该是毫不怀疑的。► 用户通信：在设计用户通信特性，比如聊天页面、投票按钮、消息线程、评级等时，Ajax是一种非常有用的技术。这种应用的一个范例是Netflix电影评级按钮。►新闻：RSS种子是可以真正发挥Ajax技术优势的另外一个流行概念。现在有关RSS的应用很多，比如Google News。► 数据处理：一个例子是对表中数据列进行排序或者筛选。另外一个例子是使用线索（hint）的表单完成机制，比如Google Suggest特性（在本章的后面部分，你会看到有关这方面的后者的部分代码）。

在Google和Yahoo中使用Ajax

erway — Mon, 21 Jan 2008 21:15:00 GMT

当然，你也会想到，Google是新的Ajax技术的最大用户之一。Google Gmail、Google Calendar以及Google Personalized Home页面，这些Web应用程序都是应用Ajax技术的范例。比如，Google Calendar使用Ajax以实现日历项的快速增加和更新。Gmail使用Ajax技术，以显示右上角“loading”文本的内容。 Yahoo的新主页面也使用了Ajax技术。借助于Ajax技术，在主页面上增加很多个性化功能以及很多新特性，比如电子邮件快速浏览。

07年最受读者欢迎10大IT图书评选结果

erway — Sat, 19 Jan 2008 17:09:00 GMT

对于熟悉这些书的读者朋友来说，这10本书无疑都是各个领域内的经典之作。由于这次评选的名额有限，再加上其他各方面的原因，导致还有很多其他的经典图书未能上榜，该榜单仅供参考。我对这10本书从各方面进行了简单的统计，相关情况如下：1. 从技术领域来看，其中程序设计思想方法/算法类3本（NO.2、NO.3、NO.4），Java类2本（NO.1和NO.9），C++类1本（NO.8），系统编程类1本（NO.5），数据库类1本（NO.6），脚本语言类1本（NO.7）.NET类1本（NO.10）。2. 曾经获得“2006年最受读者欢迎十大IT图书”殊荣的图书4本，分别是NO.2、NO.3、NO.4、NO.8。3. 本版类图书1本（NO.9），外版类图书9本。4. 机械工业出版社华章公司3本（NO.1、NO.2、NO.7），人民邮电出版社图灵公司3本（NO.5、NO.6、NO.8），电子工业出版社博文视点2本（NO.3、NO.9），东南大学出版社1本（NO.4），清华大学出版社1本（NO.10）。

如何在Struts中使用Ajax——Struts中的高级Ajax编程技巧

erway — Fri, 18 Jan 2008 14:18:00 GMT

本书是经典Struts著作Pro Jakarta Struts的新版本，饱含业界顶尖专家在多年的实际开发工作中总结出来的宝贵经验。本书内容丰富，几乎涵盖了与Struts相关的所有高级主题。本书注重实践，针对日常开发工作中可能遇到的各种“疑难杂症”给出了有效的解决方案，并通过模式和反模式阐述了Web应用程序的开发思想。通过本书，你可以轻松而迅速地使自己的Struts技术上升到一个新的高度，解决实际问题的能力也将大大增强。

欲从事数字犯罪的“黑客”们必须了解的知识——黑客必读！

erway — Mon, 14 Jan 2008 16:21:00 GMT

如果你是一名“黑客”，如果你想利用计算机或者是网络做一些“违法”的事情，那么你先看看“警察”们有哪些高科技知识吧！

杨福川 图灵 -