编程笔记 – 第 10 页 – 刻意练习！不积跬步，无以至千里；不积小流，无以成江海

Redis安全指南

开启redis密码认证,并设置高复杂度密码身份鉴别描述

redis在redis.conf配置文件中，设置配置项requirepass，开户密码认证。 redis因查询效率高，auth这种命令每秒能处理9w次以上，简单的redis的密码极容易为攻击者暴破。检查提示

存在弱密码(配置文件|密码):/usr/local/redis/etc/redis.conf|加固建议

打开redis.conf，找到requirepass所在的地方，修改为指定的密码，密码应符合复杂性要求：

1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱口令，如：abcd.1234 、admin@123等

再去掉前面的#号注释符，然后重启redis

禁止监听在公网访问控制描述

Redis监听在0.0.0.0，可能导致服务对外或内网横向移动渗透风险，极易被黑客利用入侵。\u0009检查提示

–加固建议

在redis的配置文件redis.conf中配置如下： bind 127.0.0.1或者内网IP，然后重启redis

禁止使用root用户启动访问控制描述

使用root权限去运行网络服务是比较有风险的（nginx和apache都是有独立的work用户，而redis没有）。redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys，来获取root登录权限的检查提示

–加固建议

使用root切换到redis用户启动服务:

useradd -s /sbin/nolog -M redis 
sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf 2&1>/dev/null &

打开保护模式访问控制描述

redis默认开启保护模式。要是配置里没有指定bind和密码，开启该参数后，redis只能本地访问，拒绝外部访问。检查提示

–加固建议

redis.conf安全设置： # 打开保护模式 protected-mode yes

版本存在安全漏洞入侵防范描述

Redis以下版本存在漏洞，容易被入侵 1. Redis 2.8.1 之前版本和 3.0.2 之前 3.x 版本存在字节码命令执行漏洞 https://avd.aliyun.com/detail?id=AVD-2015-4335 2. Redis 4.x至5.0.5版本存在主从复制命令执行漏洞 3. Redis 3.2.0 至 3.2.4 版本存在缓冲区溢出漏洞，可导致任意代码执行 https://avd.aliyun.com/detail?id=AVD-2016-8339检查提示

–加固建议

更新服务至最新版本，完成漏洞的修复，这些漏洞基于未授权访问或者服务存在弱口令，完成访问认证加固可降低被入侵风险。

限制redis 配置文件访问权限文件权限描述

因为redis密码明文存储在配置文件中，禁止不相关的用户访问改配置文件是必要的，设置redis配置文件权限为600, 检查提示

–加固建议

执行以下命令修改配置文件权限：

chmod 600 /<filepath>/redis.conf

修改默认6379端口服务配置描述

避免使用熟知的端口,降低被初级扫描的风险检查提示

–加固建议

编辑文件redis的配置文件redis.conf，找到包含port的行，将默认的6379修改为自定义的端口号，然后重启redis

禁用或者重命名危险命令入侵防范描述

Redis中线上使用keys *命令是非常危险的，应该禁用或者限制使用这些危险的命令，可降低Redis写入文件漏洞的入侵风险。检查提示

–加固建议

修改 redis.conf 文件，添加

rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""
rename-command KEYS     ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""

然后重启redis。重命名为”” 代表禁用命令，如想保留命令，可以重命名为不可猜测的字符串，如： rename-command FLUSHALL joYAPNXRPmcarcR4ZDgC

Redis未授权访问身份鉴别描述

Redis端口对外开放并且没有配置认证选项，未授权用户除了可直接获取数据库中所有信息，造成严重的信息泄露外，还可以通过未授权访问漏洞入侵攻击系统。检查提示

–加固建议

可以使用以下方法修复： 1、为Redis服务配置认证，在配置文件redis.conf中requirepass 配置复杂密码，然后重启redis。 2、在Redis的配置文件redis.conf中配置如下： bind 127.0.0.1，只允许本机访问，然后重启redis

Nginx安全指南

Nginx后端服务指定的Header隐藏状态服务配置描述

隐藏Nginx后端服务X-Powered-By头检查提示

–加固建议

隐藏Nginx后端服务指定Header的状态：

1、打开conf/nginx.conf配置文件；

2、在http下配置proxy_hide_header项；增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;

应为每个核心站点启用access_log指令

默认情况下启用。检查提示

–加固建议

开启Nginx的WEB访问日志记录：

1、打开conf/nginx.conf配置文件，含主配置文件中include项包含的子配置文件；

2、在http下配置access_log项
access_log logs/host.access.log main;

3、并在主配置文件，及主配置文件下的include文件中删除off项或配置为适当值

确保NGINX配置文件权限为644文件权限描述

把控配置文件权限以抵御外来攻击检查提示

–加固建议

修改Nginx配置文件权限：执行chmod 644 <conf_path>来限制Nginx配置文件的权限；(<conf_path>为配置文件的路径，如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf，或用户自定义，请自行查找)

检查是否配置Nginx账号锁定策略。身份鉴别描述

1.执行系统命令passwd -S nginx来查看锁定状态出现Password locked证明锁定成功如：nginx LK ….. (Password locked.)或nginx L ….

2.默认符合，修改后才有（默认已符合）

3.执行系统命令passwd -l nginx进行锁定检查提示

–加固建议

配置Nginx账号登录锁定策略： Nginx服务建议使用非root用户(如nginx，nobody)启动，并且确保启动用户的状态为锁定状态。可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。命令 passwd -S <用户> 如passwd -S nginx可查看用户状态。修改配置文件中的nginx启动用户修改为nginx或nobody 如： user nobody; 如果您是docker用户，可忽略该项（或添加白名单）

检查Nginx进程启动账号。服务配置描述

Nginx进程启动账号状态，降低被攻击概率检查提示

–加固建议

修改Nginx进程启动账号：

1、打开conf/nginx.conf配置文件；

2、查看配置文件的user配置项，确认是非root启动的；

3、如果是root启动，修改成nobody或者nginx账号；备注：

4、修改完配置文件之后需要重新启动Nginx。

隐藏Nginx服务的Banner服务配置描述

Nginx服务的Banner隐藏状态检查提示

–加固建议

Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态：

1、打开conf/nginx.conf配置文件；

2、在server栏目下，配置server_tokens项 server_tokens off; 如出现多项不支持，执行ln <conf_path> /etc/nginx/nginx.conf

针对Nginx SSL协议进行安全加固服务配置描述

Nginx SSL协议的加密策略进行加固检查提示

–加固建议

Nginx SSL协议采用TLSv1.2：

1、打开conf/nginx.conf配置文件（或主配置文件中的inlude文件）；

2、配置

server { 
               ...
              ssl_protocols TLSv1.2;
               ...
}

备注：配置此项请确认nginx支持OpenSSL，运行nginx -V 如果返回中包含built with OpenSSL则表示支持OpenSSL。如不支持，可能需要增加配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 如果尚未配置ssl协议，请尽快配置（参考连接https://www.nginx.cn/doc/optional/ssl.html）

确保已禁用自动索引模块访问控制描述

自动索引模块处理以斜杠字符结尾的请求。此功能启用目录列表，这在攻击者侦察中可能很有用，因此应将其禁用。检查提示

–加固建议

执行以下操作以禁用自动索引模块: 搜索NGINX配置文件（NGINX.conf和任何包含的配置文件）以查找autoindex指令。
egrep -i '^\s*autoindex\s+' <main_config_path> egrep -i '^\s*autoindex\s+' <sub_config_path> 在location下删除或者修改为 autoindex off;

提高安全性的最佳 Nginx 配置

数据库设计案列分析和经验总结

设计经验总结

数据库设计最好的文章之一

掌握ER模型中的基本元素和概念，实体，关系，属性，关系，数据库范式，反范式

单人开发项目时，如果无法很快设计出全部的数据库，可以先设计简单的小部分，然后编码，这样可以提高开发效率效率，如果一直空想会浪费很多时间，任何设计都是逐步完善和迭代的，面对复杂的逻辑，大部分普通程序员都无法一下想出很好的设计方案

关系的度（Degree of a Relationship）

表示几个实体之间的关系，二元关系，三元关系，N元关系，二元回归关系（例子:无限级分类pid自关联）；

在数据表中的体现是一张表中有几个外键；设计时要仔细确定各终端每个需求需要的是几元关系;

将项目拆分模块后，要对模块继续拆分，拆分到每一个页面的每个块数据，转化成具体查询思路

当一个中间表(关系)无法满足需求时,可能需要多个中间表实现；一个实体（表）可以参与到任意多个关系（中间表）中。每个关系可以联系任意多个元（实体表），而且两个实体（表）之间也能有任意多个二元关系（中间表）。

关系的连通数（Connectivity of a Relationship）

二元（两个表）的一对一，一对多，多对多

多元（多个表）的一对一对一.. 一对一对多.. 一对多对多.. 多对多对多.. 可以用数学中的函数依赖表示

关系是强制的还是可以选的

数据库范式

第一范式（1NF）列值必须有具有原子性，不可分割，例如省市区或经纬度不能放到一个字段里

第二范式（2NF）一张表满足第一范式且每个非键属性完全依赖于主键。当一个属性出现在函数依赖式的右端，且函数依赖式的左端为表的主键或可由主键传递派生出的属性组，则该属性完全依赖于主键；通俗的说法就是

第三范式（3NF）一张表满足当且仅当其每个非平凡函数依赖X –> A，其中X和A可为简单或复合属性，必须满足以下两个条件之一。1. X为超键或 2. A为某候选键的成员。若A为某候选键的成员，则A被称为主属性。注：平凡函数依赖的形式为YZ –> Z

Boyce-Codd范式（BCNF）一张表R满足Boyce-Codd范式（BCNF），若其每一条非平凡函数依赖X –> A中X为超键。

范式总结：

二三范式，多值属性，可变值属性，一张表中有多个事实描述，需要拆成多张表关联，解决插入和更新异常

bcnf范式，删除异常通过中间表加冗余字段来解决，比如删除商品后，订单中需要展示的封面图和商品名称字段不见了需要增加封面图和商品名称冗余字段来保存

范式设计是参考标准，最终以需求为准满足需求的设计才是最适合的设计，避免原教旨主义。

特殊需求反范式设计，提升查询性能

三种设置主键的思路：业务字段做主键、自增字段做主键和手动赋值字段做主键。

业务字段做主键

例用户表使用会员卡做主键，当业务需求发生变化，例如需要将A的会员卡号转给B，会造成用户关联表流水记录出现混乱，A的流水变成了B的流水

以业务字段做主键还有一个可能的后果就是，索引的叶子结点中的内容占用空间可能会比较大，一个页面可能能放入的数据更少了

自增字段做主键

单数据库应用通常使用自增id做主键，例如laravel框架默认使用自增id

当业务需求需要多个数据库分别保存数据库时，例如超市门店要求离线保存并定期最终汇总到一起，自增id就会出现冲突。

手动赋值字段做主键

手动赋值可以上述问题，在总部的数据库里保存一下当前最大id的值，然后插入之前先查询一下id的最大值

UUID和雪花ID能保证主键的唯一性，也可以解决上述需求，分布式系统常用

物理设计注意事项

varchar和char 最大行65535

text类型字段个数限制

案例分析

贝宝项目-分销

需求描述

用户和盟商创建时自动生成合伙人，合伙人分享给用户链接，用户点击分享链接时绑定为合伙人的粉丝

点餐项目-手环消息推送

需求描述

用户在餐桌呼叫服务，向餐桌绑定的手环逐个发送消息。如果第一个手环的使用者响应了消息则呼叫服务成功，否则继续向下一个手环发送消息，直至超过最大调度次数。

舍得租赁电商-相机排期

共好电商-多规格SKU

统计需求汇总

总结，

查询简单对性能要求不高的直接查询返回,

查询复杂的按照展示需求单独建表统计，可以基于复杂查询语句的查询结果整个写入统计表中

更复杂的统计用ES实现

点餐统计需求

寻草订单交易量统计需求

仿京东商城数据库

Laravel多态关联的应用案例

多对多多态

//用户模型
class User extends Authenticatable
{
    use HasFactory, Notifiable, HasApiTokens, DateFormat, Filterable;

    protected $table = 'users';
    
    //关注的用户
    public function followUser()
    {
        return $this->morphedByMany($this, 'followable', 'followable', 'user_id', 'followable_id')
            ->withTimestamps();
    }
    //关注的专家
    public function followExpert()
    {
        return $this->morphedByMany('App\Models\Expert', 'followable', 'followable', 'user_id', 'followable_id')
            ->withTimestamps();
    }
    //关注的主播
    public function followAnchors()
    {
        return $this->morphedByMany('App\Models\Anchors', 'followable', 'followable', 'user_id', 'followable_id')
            ->withTimestamps();
    }
    //关注的作者
    public function followAuthors()
    {
        return $this->morphedByMany('App\Models\Authors', 'followable', 'followable', 'user_id', 'followable_id')
            ->withTimestamps();
    }
    //关注者，即主动关注用户的人
    public function followerUser()
    {
        return $this->morphToMany($this, 'followable', 'followable', 'followable_id', 'user_id')
            ->withTimestamps();
    }
}
//专家模型
class Expert extends BaseModel
{
    protected $table = 'expert';
    //关注者，即主动关注专家的人
    public function followerUser()
    {
        return $this->morphToMany('App\Models\User', 'followable', 'followable', 'followable_id', 'user_id')
            ->withTimestamps();
    }
}
//主播模型
class Anchors extends BaseModel
{
    protected $table = 'anchors';
    //关注者，即主动关注主播的人
    public function followerUser()
    {
        return $this->morphToMany('App\Models\User', 'followable', 'followable', 'followable_id', 'user_id')
            ->withTimestamps();
    }
}
//作者模型
class Authors extends BaseModel
{
    protected $table = 'authors';
    //关注者，即主动关注作者的人
    public function followerUser()
    {
        return $this->morphToMany('App\Models\User', 'followable', 'followable', 'followable_id', 'user_id')
            ->withTimestamps();
    }
}
//控制器代码
class FollowController extends Controller
{
  //关注/取消
  public function toggle(Request $request)
 {
    $request->validate([
         'followable_id'=>'bail|required|integer',
        'followable_type'=>'bail|required|string|in:user,expert,authors,anchors'
    ]);
    //利用可变方法动态创建模型对象
    $type_model = "\App\Models\\".ucfirst($request->input('followable_type'));
    $follow = $type_model::findOrFail($request->input('followable_id'));
    //调用关注人关联和toggle方法动态切换关注和取消关注
    $result = $follow->followerUser()->toggle($request->user()->id);

    if ($result['attached']) {
        $status = 1;
    } else {
        $status = 0;
    }

    return response()->json(compact('status'));
 }

//关注列表
public function index(Request $request)
 {
    $request->validate([
      'followable_type'=>'bail|required|string|in:user,expert,authors,anchors'
    ]);
    //根据类型可变方法动态加载我的关注关联，实现4个类型列表
    $followable_funname = 'follow'.ucfirst($request->input('followable_type'));
    $builder = $request->user()->$followable_funname();

    if ($request->input('followable_type') == 'user') {
        $builder->select('users.id', 'name', 'avatar');
    } elseif ($request->input('followable_type') == 'expert') {
        $builder->select('expert.id', 'name', 'nickname', 'photo', 'tags')
                ->where('is_show', 1);
    } elseif ($request->input('followable_type') == 'authors') {
        $builder->select('authors.id', 'authors.user_id', 'introduction')
                ->with([
                    'user'=>function ($query) {
                        $query->select('id', 'name', 'avatar');
                    }
                ])
                ->where('status', 1);
    } elseif ($request->input('followable_type') == 'anchors') {
        $builder->select('anchors.id', 'anchors.user_id', 'games_type')
                ->with([
                    'user'=>function ($query) {
                        $query->select('id', 'name', 'avatar');
                    }
                ])
                ->where('status', 1);
   }
   //按关注时间排序
   $followed = $builder->orderBy('followable.created_at', 'desc')
           ->forPage($request->input('page', 1), $request->input('per_page', 1))
           ->get();

   return $followed;
}

}

这种抽象的写法可以减少接口数量，要看具体需求是否合适

电商商品模块，关于规格问题的研究

基础概念

商品规格商品属性 SKU

没有规格

最简单的商品规格设计，就是没有规格直接展示SKU

只需要两张表商品表 (products) 和商品sku表(product_skus)

product_skus 包含库存和价格

多规格

有赞的设计方式

实现逻辑

对规格值进行笛卡尔积计算，生成SKU

1.规格不变，规格值发生变化时

添加规格值，重新生成添加值对应的笛卡尔积，删除规格值，删除删除值对应的笛卡尔积

2.规格变动，重新生成笛卡尔积覆盖原有数据

Linux安装PHP FAQ

离线安装

很多国企和大型企业的自建机房不允许访问公网，流量只能进开发固定端口，造成安装LNMP环境时缺少各种依赖和报错。以centos系统为例

1.上传和服务器版本一致的操作系统镜像，(例：CentOS-7-x86_64-Everything-2009.iso，一定要使用everything版本包含软件包) 到服务器

2.挂载光盘镜像

mkdir /mnt/dvd //创建挂载目录
mount -o loop /xxx/CentOS-7-x86_64-Everything-2009.iso /mnt/dvd  //挂载,xxx为镜像所在目录
df -h  //查看 /mnt/dvd 挂载点是否挂载成功

3.配置yum本地源

mkdir /etc/yum.repos.d/bk //创建备份目录
mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/bk //备份源文件

vim /etc/yum.repos.d/CentOS-Media.repo  //编辑本地源
//centos6/7内容如下，file路径为上一步的镜像挂载
[local-media]
name=CentOS-$releasever-Media
baseurl=file:///mnt/dvd/
gpgcheck=1
enabled=1
gpgkey=file:///mnt/dvd/RPM-GPG-KEY-CentOS-7

//CentOS 8本地源配置文件写法与CentOS6和7不同，配置文件内容如下：
[LocalRepo_BaseOS]
name=LocalRepository_BaseOS
baseurl=file:///mnt/dvd/BaseOS
enabled=1
gpgcheck=0

[LocalRepo_AppStream]
name=LocalRepository_AppStream
baseurl=file:///mnt/dvd/AppStream
enabled=1
gpgcheck=0

//保存然后执行
yum clean all && yum makecache

//测试一下是否可用
yum install git

4 执行离线安装

使用oneinstack

一台服务器（可以使用系统版本系统的虚拟机替代）联网使用oneinstack安装后，src目录里会有相应的包，打包oneinstack 放到需要离线安装的服务器（配置好内网yum源）就是离线了。

使用lnmp一键安装包，需要下载完整包

执行CheckMirror=n ./install.sh lnmp。

5 其它参考

https://blog.51cto.com/u_1836630/2417675

Linux编译安装相关知识

linux查看某个库是否安装

https://blog.csdn.net/vantian/article/details/76636327

ldconfig -p | grep pcap

Nginx常用功能配置

缓存静态资源

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico)$ {
    expires 30d;
    access_log off;
}

location ~ .*\.(js|css)?$ {
    expires 7d;
    access_log off;
}

开启SSL

SSL http2

listen 443 http2;
ssl_certificate /usr/local/nginx/conf/ssl/xxx.pem;
ssl_certificate_key /usr/local/nginx/conf/ssl/xxx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;

开启GZIP

gzip_module ngx_http_gzip_static_module

#Gzip                          Compression
gzip on;
gzip_buffers 16 8k;
gzip_comp_level 6;
gzip_http_version 1.1;
gzip_min_length 256;
gzip_proxied any;
gzip_vary on;
gzip_types
text/xml application/xml application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml
text/javascript application/javascript application/x-javascript
text/x-json application/json application/x-web-app-manifest+json
text/css text/plain text/x-component
font/opentype application/x-font-ttf application/vnd.ms-fontobject
image/x-icon;
gzip_disable "MSIE [1-6]\.(?!.*SV1)";

重定向

http 跳转 https

if ($ssl_protocol = "") { return 301 https://$host$request_uri; }

非www 重定向到 www

if ($host != 'www.xxxx.com' ) {
   rewrite ^/(.*)$ https://www.xxxx.com/$1 permanent;
}

防盗链

ngx_http_referer_module ngx_http_secure_link_module

location ~ .*\.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv|mp4)$ {
    valid_referers none blocked *.nginx.stu nginx.stu;
    if ($invalid_referer) {
        return 403;
    }
}