读后感 《白帽子讲Web安全》

       入门书籍要选择用普通言语来讲述原理与技术的书籍。不能选择学术化的教科书和软件说明书籍。

       下面两本书，我打算入门之后再进行仔细的阅读。

        任何一个行业都是有门槛的，就像Web安全，它的门槛就是Web开发技术。可以通过以下的故事更好的理解这句话。

        这本书是我大二买的。当时，我了解C、VB、MATLAB语言，但是对于Web开发方向的语言一窍不通，所以对于这本书，我就只能看第一章 我的安全世界观，其余章节因为没有相应的语言基础HTML,CSS,JS,PHP,Python2/3和相应的软件使用基础mysql/apache，所以就只能看个热闹。现在大三暑假，经过大三一年的课外学习，了解一些Web方面的语言和软件，再来翻阅这本书籍，我发现其他章节能看下去了。由于AJAX和框架还没有学习，所以有部分代码与特性就只能靠猜，但总算能看下去了，挺好。

        作者说，在正确的地方，做正确的事情。我认为，应该再填上一句  “在最适合的地方，做做适合的事情。”一个功能，算法A可实现，算法B可实现。A/B均正确，但A比B来说，在实现该功能上有一些更适合的特性，所以选A不选B。几个月后，算法C出来了，A/B/C都对，C比A更适合用于这个地方，故用C替换 A。

        在前言中，作者写道

       “…就如同开发者会遇到的挑战一样，有很多问题，不放到一个海量用户的环境下，是难以暴露出来的。由于量变引起质变，所以管理10台服务器，和管理1万台服务器的方法肯定会有所区别；…”

      我的感受，写10行代码，写好后，不断的优化10行代码，经过一段时间后，10行代码的瓶颈就出现了，那么就往100行代码去突破，然后再不断地优化，100行瓶颈出现，往千行发展….换个方向的话，那么单人项目，双人，三人，四人；一个团队，两个团队；一个国家，两个国家。。。等等

 

         唯有与时俱进，才能发现更多的机会。

         PHP从5到6后，架构发生了极大的变化。

         在设计Web框架安全时，需要与时俱进。当新的威胁出现时，应当及时完成对应的防御方案。如此一个Web框架才具有生命力。

         有攻击框架、有防御框架、有网页开发框架，但是只要是人，就难免会犯错误，使用框架也并非高枕无忧。没有一劳永逸的方法，攻防都在不断地变化之中。

 

        态度决定高度/* Attitude determines altitude.*/

        当你发现一个问题，大家都没有认真去做，就连官方也是敷衍了事(这个是我们的新特性)，那么你应该意识到：这是你的使命，完成它！  其实有很多损失，是态度消极导致的。

 

        要科学，不要迷信

        框架与官方指导文件有的时候提出的办法是可行的，但是在某一复杂环境下，存在更适合的办法，所以不要迷信文档。要以科学的观点看待官方文档。

 

       还有一些零散的感悟，大家通过在读的时候，就能领悟，所以就不写出来。That’s all,Thank you!