strwolf的专栏

0x00. 研究了下163邮箱的cookie，有点复杂没能分析出来0x01. 自己模拟了钓鱼攻击，发现个小地方PHP写入文本换行，win下是\r\n，听说linux下才是\n0x02. 服务端设置返回头X-XSS-PROTECTION:0关闭浏览器对于XSS提交的保护，用php的header函数，这个函数同样也可以改变location实现跳转0x03. 尝试了实际环境中的XSS，发现一

1、昨天早上基本就干了一个事情，就是把重新计算loan_amount和重跑模型合并成了一个接口！做了部分测试，SQL返回结果为空，是可以直接做if判断的，印象中只有一次没成功，原因不明，等下次能复现再说！另外一点就是不用跑一句SQL，关闭重建游标，一个游标可以一直用！2、下午主要的工作的就是在内网centos服务器上部署php的laravel环境，花了整个下午的时间还没弄好，但是部署的事情还是

1、lamp在centos下可以一键部署，参考http://www.centoscn.com/CentosServer/www/2015/0226/4742.html，wget的参数–no-check-certificate是访问https，-O xxxx.zip参数是下载下来后重命名，shell中用通配符，chmod +x *.sh，全部执行权限，./lamp.sh 2>&1 | tee lamp

1、上午排查了风控系统的问题，重新计算金额和重跑模型需要整合！前端已经限制多次点击重跑模型按钮！模型的SQL同时跑有可能会出现，找不到某个表的错误，因为调用表的时候，表可能被另外正在跑的SQL给DROP掉了，恰好会出现SQL找不到表错误！搞清楚了调用次序是re_model->lptrigger_fraud->model，传征信的调用顺序是parse->lptrigger_fraud->model。

1、昨天对于loans找出与之对应的pboc，数量差140+个，我分析了下这140+个中，PBOC为NULL的情况，有些是存在pboc我没跑过，有些是newportal中也没有的pboc，最多的还是空征信！其他的查询时间大于贷款生成时间的我还没来得及分析！2、laravel我更进一步写了一个test页面（包含一些模板语法），@extends()可以继承其他模板，@section替代@yield

1、R的logistic回归是用的glm函数，广义线性回归，里面对系数有一个统计检验，统计量是Z，我不太清楚具体用到的是什么检验方法，我查了一下，没查到，有时间继续查吧2、研究了laravel，按模块(header、sidebar、footer)写成了模板，然后载入，以前做好的两个核心部分。laravel使用的是MVC模式，app/Http/routes.php是设置路由，可以加载控制器con

昨天主要的工作就是把adminLTE用laravel改成模板，主要涉及到一些laravel的安装、调试等等1、安装laravel，首先需要安装一个叫composer的东西，composer是php的包管理工具，去官网下载composer_windows安装包，直接双击安装，但是出现了提示PHP的openssl未开，2、打开php.ini中去掉extension=php_openssl.dl

1、上午一直研究echarts的关系图怎么弄，echarts有两个官网，一个是echarts3，一个是echarts2，我一直用的echarts3，里面的实例好几个复杂的都是调用一个xml，这个xml是一个有名的关系图（只画关系图吗？）软件Gephi导出格式gexf ，开始的想法是想动态地去生成这个xml，后来发现有点复杂，然后又看了几个简单实例，再结合文档，发现是可以直接写json格式的，涉及

这个本来应该是上周五就完成的，但是上周五时间没把握好，从这周起4点就开始着手周总结和周五总结，现在对上周五进行补充回顾。上午处理了风控系统的问题，他妈的，权限又没弄对，应该是运维用root权限去跑过程序生成了root权限的txt，重启后使我没有写入权限，我还以为是自己程序逻辑的问题，然后写日志也没问题，无论是logging和print配合sys.stdout.flush()都可以输出，直接我确实不

昨天做的工作和学的东西都很多很宽泛，节奏不能乱，需要好好总结，每一个知识点，繁杂的事物中理清头绪。我views.py会import一个A.py，我修改A.py直接覆盖掉不重启服务，没生效，还是跑的以前的代码，后来我删除了A.pyc，还是跑以前的代码，而且不会生成新的A.pyc，我只好重启服务manage.py，问题解决，生成了新的A.pyc。洋神的意思是即便删除A.py仍然可以跑，代码应该已经被载

0x00. 学习php，responsexml章节，注意的地方就是由于用mysql_connect语法会报一个警告消息在页面上，这样生成的xml由于含有警告这样一段非xml格式的代码，导致xml不能正常解析返回给前台，所以解决办法就是不要让页面产生这样一段警告信息，可以调整php的警告报告等级0x01. 帮keyco和eliza看一些问题0x02. 继续搞了下django的投票应用，尝试去

0x01. 昨天解决了douphp我所谓的由于解析成本地ip，不能成功加载css和js的问题，后来在猫哥的帮助下，终于解决了，原来是没有清空服务器端的缓存，我研究了下，douphp有一个cache文件，里面有初次访问服务器根据模板生成的php文件，里面的相对路径的地方得到了填充，填充成了绝对路径，由于我第一次访问是localhost地址，所以模板上的css地址是localhost地址，get失败

0x01. 继续学习了PHP关于下拉菜单ajax请求数据库，和ajax请求xml一样的，只是xml dom的解析换成了数据库的查找，还学到了返回responsexml，但是不学完被打断0x02. 临近下班接到电话，有网站单子，我要价太低了，不要怂啊，以后这种直接狮子大开口，还要吹上天，各种专业名词，晚上回去弄了一晚上的PHP，找了个开源源码，各种改，但是也遇到了一些问题还有待解决，是叫doup

0x01. 继续学习了php对xml交互，html部分主要是一个select标签，option标签不同艺术家名字，一个提示文本区域根据选择的艺术家显示对应的唱片信息；xml部分是一个唱片信息的大集合，js部分负责向ajax部分，向后台get唱片信息，后台php做处理，根据获得的艺术家名字，加载xml文件，根据xml DOM搜索方法找到艺术家的唱片，把唱片信息输出在固定的文本区域p标签之中，要注意的

1、上午又找了个SEO供应商，别人直接不接，算了，不浪费时间，自己慢慢学，也能在改网站的过程中学到很多，勿忘初心，I do it just 4 fun and learning2、临近中午的时候开通了mysql的远程访问权限，开始按照别人的方法，始终连接不上，所以我尝试了很多，最后归纳看来就三步，第二步我不知道是否必须      A、配置权限GRANT ALL PRIVILEGES O

1、继续学习PHP，多学习了一个小节，数据库SELECT，运行sql还是用到mysql_query，查询到的结果可以赋值给一个变量$result，然后有个函数可以逐行把结果取出来，mysql_fetch_array函数取出$result的每一行，比如$row = mysql_fetch_array($result)，然后$row[字段名]可以引用2、用T检验分析了公司注册资金与逾期的关系，写好

0x00. 学习php，把w3school的php教程全部完结了，RSS就是一个基于xml的东西，所以可以用xmlDoc.load，然后直接遍历xml结构树，就可以把rss内容显示到自己页面上；php的最后一部分是一个ajax的投票应用，主要逻辑是把投票结果存储在一个本地txt中，前端就是两个单选按钮和一个提交submit，选择一个submit，相应的加1，然后ajax后台请求，显示结果页面，取代