另外登录流程为何如此复杂。。
服务器只存储“密码”的 ciphertext，客户端只存储“密码”的 key，其他登录注册流程和普通网站一致似乎就可以确保：
1/ 服务端无法破解存储在服务端上的密码密文
2/ 客户端无法破解服务端上其他客户的密文

建议做成浏览器扩展…否则恶意浏览器扩展轻松破解

使用参数化查询就可以解决注入问题，PDO 支持参数化查询，所以，要使用 PDO 解决注入问题请使用 PDO 的参数化查询功能

@anubiskong MongoDB 的查询是可以注入的，例如利用语言特性传一个 {$ne:xxx} 对象（而不是一个字符串）

@Radeon 然而即使用了沙盒也无法避免这个 exploit。即使有沙盒，通过这个 exploit 也可以实现读取 Firefox 所有可以读取的内容，例如你保存下来的 Cookie 在磁盘上存储的文件。沙盒只能避免它读取到用户文件。

@jiaozi typo：<del>TCP</del> HTTP 自身是无状态的

@jiaozi 确实有不用 cookie 传递 session 的办法，可以用 HTTPS Session 传递 Session，可以用 ETags 借助浏览器缓存传递 session，可以用 URL 传递 session，然而 OAuth 以外 99% 以上的 session 都是通过 cookie 传递的…

TCP 自身是无状态的，总要有个地方「持久化记录」一个唯一标示符，浏览器提供的「可以让服务器在客户端保存一段信息以供后续使用」的这个功能叫做 Cookie。

不信你清空 v2ex 上的 cookie 试试..看看 session 是不是丢失了

@jiaozi 然而 session 要通过 cookie 传递的亲……session id 是在 cookie 里的，id 所对应的 data 才是在服务器上..用着 session (基本)就得用 cookie..

其实吧，这些非对称加密啊什么的..面对国家机器可能都是没什么用的，鬼知道灯塔国在加密算法里藏了多少后门呢..

体系中只要有一个后门，那整个体系就是不安全的，更何况灯塔国还到处都安插过后门——从最底层算法的依赖（如随机数），到算法相关（如曲线参数），到具体实现（如 OpenSSL 函数），可是都被藏过后门的…还有更多没有爆料出来的：我相信只要被 NSA 盯上了你的加密数据一定可以被解密 =。=

@realpg 这个有人做了： http://priv.ly

3, 在 root CA 被破解前客户端与客户端建立的点对点加密不会被 MITM 攻击

客户端与客户端之间建立点对点加密，使用 root CA（其实只要可以公钥私钥就行）确认加密请求可靠性，这样：
1, root CA 被破解了不会影响已经建立起来的点对点加密
2, 仅破解单个客户端不会影响其他客户端之间的通信

在纯 include 代码中省略结束的 ?> 是官方推荐做法，原因楼上说了..如果结束符号 ?> 后有空白符号（如回车），则包含这个文件的时候就会立即向客户端输出回车，就可能导致包含该文件的代码无法修改 header（因为包含的时候已经有字符发送了出去）

If a file is pure PHP code, it is preferable to omit the PHP closing tag at the end of the file. This prevents accidental whitespace or new lines being added after the PHP closing tag, which may cause unwanted effects because PHP will start output buffering when there is no intention from the programmer to send any output at that point in the script.

http://php.net/manual/en/language.basic-syntax.phptags.php

@introom 本科，上海，有什么问题吗？北上广地方的同学，技术很厉害是很正常的吧，毕竟从学业压力上来说小得多，有非常非常多的课余时间——我的同学高中就已经写了一个微内核操作系统，玩转了 Windows 内核开发，大学本科在刷算法研究信息安全研究 0day，还没到研究生的时候技术就已经秒了一片 BAT 员工了吧…（另外我认识的这样的同学不止一个）当然我没那么厉害，我丝毫不质疑 95 年 10 月出生的同学作为首席工程师的能力

@Livid 根据帖子中（P15），应该是显示器识别错误，在我这里也是这种情况
我的解决方法是..黑屏出现鼠标以后（此时应该是登录界面），输入密码回车，如果鼠标消失了那应该正在登录，不出意外的话可以登录进去，如果在扩展模式下就可以看到任务栏，或者单一显示模式下什么都看不到，可以按住 Win+P，再按上，或者两次上，或者三次上，全部释放，来切换显示模式，可以切换到复制模式来调整显示设置；复制模式下那就直接调整一下显示设置

到这里投诉一发

http://sswz.chinapost.gov.cn/index.do

expressjs 主要的思想是中间件…和 SpringMVC 的思想还是有一些区别的..
看看这个？https://www.npmjs.com/package/express-route-versioning
不过代码上就没那么简洁明了了

楼主的意思大概是在 iOS 中只能限定「要么给权限」和「要么不给权限」，不能做到前后台区分，并不如楼主之前想象的那么美好……

@Mark24 你这举得例子不对……首先从功能来说，你觉得 git 所设计的什么流程或功能是无用的或者不好的，应该删除或者改进呢？如果没有的话，只能说它好了 :-) 要说它分解得太乱，请至少举一个例子，来说明怎样做应该是好的。

个人觉得，git-scm 不是一个“操作手册”，所以不能以「我想快速知道 git 该怎么用」为目的来阅读它。你写的这个叫做 SourceTree 操作手册，或者说 SourceTree Getting Started…，并不能使人学会 git。