​不久前，网络安全人员再一次在黑产面前遭到重挫，Joomla曝高危0Day漏洞，无需用户登陆就能触发。Joomla漏洞在官方发布升级版和补丁之前，已经在各种地下黑色产业链中流传了一段时间，恐怕并且已经有不少网站被黑客拿下。 这个恶意代码的进入点是用户代理字符串，这是每个浏览器都在广而告之的内容：让浏览器知道用户的技术结构从而为站点提供最佳或最合适的版本。很显然这个字符串存储于Joomla数据库中，但并没有被清洁处理以检测恶意代码。攻击者能够通过能够播报虚假用户代理字符串的方式利用特殊app和脚本拉力轻易编制一个定制化字符串并将恶意代码附着，这个安全隐患是在PHP中session是通过序列化存储的。

    测试方法: 对一个含16个Integer/String/Date类型字段的扁平对象作序列化/反序列化，单机多线程循环执行，用循环一定次数之后sleep(1)控制频率，每隔1秒统计一次执行次数，并观察CPU/LOAD/内存等指标(因内存恒定开销，忽略掉)。

    YAML，是一个可读性高，用来表达资料序列的编程语言。YAML参考了其他多种语言，包括：XML、C语言、Python、Perl以及电子邮件格式。目YAML是”YAML Ain’t a Markup Language”（YAML不是一种置标语言）的递归缩写。在开发的这种语言时，YAML 的意思其实是：”Yet Another Markup Language”（仍是一种置标语言），但为了强调这种语言以数据做为中心，而不是以置标语言为重点，而用返璞词重新命名。 YAML的功能 YAML的语法和其他高阶语言类似，并且可以简单表达清单、杂凑表，标量等资料形态。它使用空白符号缩排和大量依赖外观的特色，特别适合用来表达或编辑数据结构、各种设定档、倾印除错内容、文件大纲（例如：许多电子邮件标题格式和YAML非常接近）。尽管它比较适合用来表达阶层式（hierarchical model）的数据结

    String对我们来说太熟悉了，因为它无处不在，更因为用String可以描述这个世界几乎所有的东西，甚至于为了描述精确的数值都需要String出马（因为计算机眼中的二进制和人类眼中的十进制间总有那么点隔膜）。因为熟悉而变得简单，也容易被忽略。今天记录一下关于String的容易被忽略的两个问题。 字符串重用――节省内存 因为字符串太多，如果能够重用则能够节省很大的内存。首先看下面一个例子： String string1 = “HEL...

    数据结构的序列化是个很有用的东西。这几天在修改原来的资源管理模块，碰到从前做的几个数据文件解析的子模块，改得很烦，就重新思考序列化的方案了。Java 和 .Net 等，由于有完整的数据元信息，语言便提供了完善的序列化解决方案。C++ 对此在语言设计上有所缺陷，所以并没有特别好的，被所有人接受的方案。现存的 C++ serialization 方案多类似于 MFC 在二十年前的做法。而后，boost 提供了一个看起来更完备的方案（ boost.serial...

    Phprpc, 是一个声称在某些场景下, 性能比hessian还要高的协议. 下面url是 javaeye andot 写的两个协议的性能测试报告: http://www.javaeye.com/topic/333720 看到这个报告是有点激动的, 那么它到底在实现上有何高明之处呢? 在这篇文章里, 我会给大家简单阐述一下, 为什么phprpc在某些场景下, 性能会优于hessian. 首先, 序列化的本意是, 将不同类型的对象转换成统一的字节流, 便于存储和传输. Java在早期1.1版时, 就引入 Seri...

    下面是对在 .NET Framework 3.5 中对 PHP、Binary、SOAP、XML、JSON、Hessian 和 Burlap 序列化/反序列化的效率对比，其中 PHP 序列化来自最新版本的 PHPRPC 3.0.1 for .NET，Hessian 和 Burlap 序列化来自Hessian C# 的最新版 1.3.3，其它的序列化都是采用 .NET Framework 3.5 中内置的功能。