用开源社区的产品为自己的收费用户服务，你的用户遇到问题，你不解决，让用户去社区找答案

这都不是有没有开源精神的问题了，这是用开源产品赚大钱，还要白嫖开源社区给自己的用户提供支持

苹果这波属实吃相难看

如果 \b 也不支持，就给 x 也写个匹配规则

搜了下，貌似是 iOS 不支持断言，别用断言换其他的试试

比如匹配不捕获 /(?:[0-9])x\b/

或者都捕获，通过变量获取匹配内容再处理

例子少，不知道你想要的是什么

[0-9] 只匹配一个数字，这样才是匹配两个数字 [0-9]{2}

不可控的输入，比如解密一段密文，格式错误、密文错误、编码错误，逐个判断太累人

try catch 一把梭，一次定生死

迟早的事，凉透也用不了几年

阿里几乎所有 2C 业务都是为某宝某猫引流和提供支撑服务，如果最后不能跟某宝某猫结合，要么半死不活，要么凉透

我喝速溶咖啡

咖啡喝多了有戒断反应，想换口味甚至不用换牌子，停喝两个月，再喝又是另一种感觉

HTTP Methods 在流量上体现就一个单词的区别，要不要遵守语义是服务器的选择

接受一部分语义，然后说其他语义不安全，很难不笑出声。有这本事应该去把 GCP 、AWS 、Azure 、阿里云、腾讯云、百度云等大厂的 RESTful API 给黑了

客户提出这种问题，我只会解释一遍。如果客户坚持 PUT 就是不安全，我就知道是对牛弹琴，内心吐槽一句傻子，把他列为能用概念忽悠的高溢价非专业客户，二话不说，按要求做兼容，后续需求提高报价

@ochatokori #2 原来这样，那我理解错了。我以为是对方有多个节点，节点有 CC 防护。那我说的方法不管用

一切你能想到的需要数据汇总和搜索的场景，监控指标、日志信息、运维报表、订单搜索、帮助中心，等

要不要专用搜索引擎，主要看你数据量。海量数据多条件搜索，任何数据库都扛不住。数据一多搜索引擎的优势就显现了

密钥文件：用一首歌，或者一个常用文件。比如 WordPress 5.2 版本 zip 文件，把它放在自己的网盘程序目录里，跟一堆程序文件在一起，谁能猜到其中的这个文件是你的密钥呢？就算你网盘登录不了，网上各个技术平台还有分发，去 Github 下载回来文件一样。记住名字和大概版本就行了

密码：选一句话，或者一句歌词。比如“我想在市区裸跑一公里”，复杂度够，再聪明的社工也很难想到你的密码是这种话。文明一点的选自己喜欢的歌词，比如“为何未及时地出生在 1874”，记住是哪首歌就行了

一、在 options 里传入 curl 配置
https://docs.guzzlephp.org/en/stable/faq.html?highlight=curl#how-can-i-add-custom-curl-options

CURLOPT_RESOLVE 配置解析，配合 CURLOPT_DNS_USE_GLOBAL_CACHE 和 CURLOPT_DNS_CACHE_TIMEOUT 禁用 DNS 缓存（不然可能不生效）

二、直接把请求 URL 的域名替换成 IP ，同时把域名添加到请求 headers 的 Host

对浏览器来说 SessionID 和 Token 唯一区别就是字段名不一样。这测试水平不咋滴，搞不好你改个名字就完事了

如果是前后端分离的，可以在登录时存一个 key 到 localStorage ，每次请求都用它签一个 RequestId 带上，服务端记录 RequestId ，同一 SessionID/Token 在一段时间内使用重复的 RequestId 直接 403 。这样搞，只是复制请求信息就不能成功了

@lesismal #90 我说的云厂商的 API 就是指 Open API ，包括对象存储的 PUT Object

要说防火墙不一样，云厂商自己不也有防火墙吗？要说软件不是 Nginx ，大多厂商 CDN 和 WAF 用的就是 Nginx 。怎么我们用 Nginx + PUT 就安全，你们用 Nginx + PUT 就不安全了？这只能说明你们运维菜，不足以说明 PUT 方法不安全

考虑其他老软件所以不支持 PUT ，这又关 PUT 安不安全什么事呢？软件的漏洞怪到 HTTP 方法上面，菜，拿了私钥的防火墙连分流策略都不懂得做，只会按总开关，菜上加菜

我前面的评论是解释那篇文章的错误在哪儿，无意跟你辩 HTTP PUT 会不会导致入侵，在我看来这不是一个值得讨论的问题。不必再给我大段回复，互相省点时间

@SimonOne #38
@lesismal #39 网上抄来抄去的那篇文章就是启用 WebDAV 又不配置认证，发现可以匿名上传，然后得出结论：可以匿名上传是因为 WebDAV 依赖的 HTTP PUT 不安全

就是错误归因。类似于把 Redis 暴露到公网又不配置认证，被挂马了，说 Redis 认证方法不安全

PUT 方法和 Nginx + PUT 组合在云厂商的服务里多得是，配置类 API 大量使用 PUT ，对象存储上传文件也用 PUT ，CDN 既用 Nginx 也用 PUT 。自认能“快捷简单地入侵”的快去 SRC 提交漏洞，有这本事拿个几万美金奖励轻轻松松

HTTP Methods 本身就只负责操作，安全认证都不是人家的活。安全没做好，只 allow GET 也能被 SQL 注入

以前只用 GET 和 POST 是因为一些地方运营商屏蔽其他 method ，现在还只用 GET 和 POST 是因为一些运维人员只会复读前辈的“不安全”，前辈为什么说不安全他们是完全不知道，只会有样学样

知其然而不知其所以然，迷信就是这么来的

印象中就腾讯云、阿里云、华为云这三家的学生优惠是真的，能优惠续费三次，等于最长购买四年

百度智能云的学生优惠就是搞笑的，才 6 个月，一个学期的时间对学生来说能有多大用处啊，也就刚学会配置环境和 hello world 吧