小编Ita*_*Ale的帖子

在CocoaLumberjack的摘要中，提到“ Lumberjack是强大的”，然后“想要更多？创建您自己的记录器（很简单）并通过网络发送日志语句”。因此，我想知道如何通过CocoaLumberjack通过网络发送日志语句？有没有现成的接口可以做到这一点？还是必须通过自己的代码来完成？有人可以给我示例代码吗？

我们需要在MySQL(InnoDB)表中存储许多行,所有这些行都有一个8字节的二进制字符串作为主键.我想知道最好使用BIGINT列类型(包含64位,因此是8字节,整数)或BINARY(8),这是固定长度.

由于我们在应用程序中使用这些id作为字符串,而不是数字,因此将它们存储为二进制字符串听起来更加连贯.但是,我想知道这是否存在性能问题.它有什么不同吗？

如果这很重要,我们使用十六进制表示法读取/存储这些ID(如page_id = 0x1122334455667788).我们不会在查询中使用整数,因为我们正在编写PHP应用程序,并且您肯定知道,没有"unsigned long long int"类型,因此所有整数都是与机器相关的大小.

我知道 mongo 不是用于格式化的，但是如何创建博客文章并以段落形式显示它而不是一个文本块？

例如，如果我有一个管理部分，我可以在其中创建博客文章并将其输入到 textarea 部分...

Consectetur adipiscing elit，sed do eiusmod tempor incididunt ut labore et dolore magna aliqua。Ut enim ad minim veniam, quis nostrud exercitation ullamco Laboris nisi ut aliquip ex ea commodo consequat。Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur。

Consectetur adipiscing elit，sed do eiusmod tempor incididunt ut labore et dolore magna aliqua。Ut enim ad minim veniam, quis nostrud exercitation ullamco Laboris nisi ut aliquip ex ea commodo consequat。Duis aute …

我们将一个应用程序(用Node.js编写)停靠,这个应用程序需要在运行时访问一些敏感数据(不同服务的API令牌),我找不到任何推荐的方法来处理它.

一些信息:

• 敏感信息不在我们的代码库中,但它以加密格式保存在另一个存储库中.
• 在我们当前的部署中,没有Docker,我们使用git更新代码库,然后我们通过SSH手动复制敏感信息.
• docker镜像将存储在私有的自托管注册表中

我可以想到一些不同的方法,但它们都有一些缺点:

1. 在构建时将敏感信息包含在Docker镜像中.这当然是最容易的; 然而,它使任何有权访问图像的人都可以使用它们(我不知道我们是否应该相信注册表那么多).
2. 像1一样,但在仅数据图像中具有凭证.
3. 在映像中创建一个链接到主机系统中的目录的卷,并通过SSH手动复制凭据,就像我们现在正在做的那样.这也很方便,但是我们不能轻易地启动新的服务器(也许我们可以使用像etcd这样的东西来同步它们？)
4. 将信息作为环境变量传递.但是,我们现在有5对不同的API凭证,这使得这有点不方便.但最重要的是,我们需要在配置脚本中保留敏感信息的另一个副本(将执行以运行Docker镜像的命令),这很容易产生问题(例如,git中意外包含的凭据等).

PS:我做过一些研究,但找不到与我的问题类似的东西.其他问题(如此问题)是关于构建时所需的敏感信息; 在我们的例子中,我们需要在运行时获取信息

该应用程序是一个SPA，该SPA托管在静态存储上（虽然与S3相似，尽管不是S3，但在概念上类似于S3），并且根本没有后端服务器。假设这是https://static.example.com/app.html

用户访问页面时，他们可以通过外部提供程序（如Auth0和Azure AD）进行身份验证。它们完成了身份验证流程，并带有id_tokenURL片段上的发送回SPA 。例如，https://static.example.com/app.html#id_token=XX。这id_token用于调用在Bearer授权标头中传递的外部API服务器。

问题是将JWT存储在客户端的位置。

1. 众所周知，将JWT存储在其中sessionStorage可能会导致令牌被XSS攻击（或在依赖项中添加恶意代码等）窃取。
2. 推荐的方法是将JWT存储在设置为HttpOnly或其中至少一部分的 Cookie中（请参阅“ Cookie拆分”部分）。但是，在我的情况下，这是不可行的，因为没有后端服务器，并且经过身份验证的用户将直接重定向到SPA，因此无法创建HttpOnlyCookie。OWASP建议使用
   此方法的一种变体：使用“指纹cookie”。由于我无法设置Cookie，因此存在相同的问题。HttpOnly
3. 例如，Auth0文档建议的另一种方法是将JWT保留在内存中。尽管这应该可以防止大多数（如果不是全部？）XSS攻击被盗，但这是不切实际的，因为会话将限于当前选项卡，并且无法在页面重新加载后幸存下来。

我看到了两种不同的选择，它们都有严重的或潜在的严重缺陷：

1. sessionStorage假设以XSS攻击（或通过NPM注入恶意依赖关系）可能导致会话被盗的风险，以任何方式存储令牌。可以通过将令牌的寿命设置得较短（例如1小时）来缓解这种情况。虽然我正在使用的应用程序没有存储关键信息（它不是银行信息或类似信息），但允许通过XSS窃取会话的代码错误并不好。
2. 实现一个后端服务器以将身份验证流移到那里，甚至可以用会话令牌完全替换JWT。但是，这将使应用程序不再是静态的，这是不可取的。
3. （由于用户体验差，排除了将JWT保留在内存中的第三个选项）

我想念什么？

我必须首先说我从未研究过密码学,而我在这个主题上所知道的只是基本概念.

我们正在寻找一种使用密码加密某些数据(存储到数据库中)的快速简便方法.我知道"最安全"的算法是AES,但它对我们来说可能太复杂了,我知道它要求我们获得美国政府的授权等.

我们考虑过这个(简单)算法,这让我想起(但我可能错了)一种"一次性垫".(它不是用任何特定语言编写的......这只是想法:))

// The string we need to encrypt
string data = "hello world";

// Long string of random bytes that will be generated the first time we need to encrypt something
string randomData = "aajdfskjefafdsgsdewrbhf";

// The passphrase the user selected
string passphrase = "foo";

// Let's generate the encryption key, using randomData XOR passphrase (repeating this one)
string theKey = "";
j = 0;
for(i = 0; i < randomData.length; i++)
{
    theKey += randomData[i] ^ passphrase[j]; …

我在yii2中有一个查询:

$models = Company::find()->where('name like :q', ['q'=>/* Array here */])->all();

你可以看到我有一个我要添加到查询中的q元素数组.如何编写查询以便检查一个或多个q元素(数组大小未知)？