回复#12 @lincanbin :

既然你的网站PV这么高，为什么每天增加的帖子并不算多？

回复#115 @lincanbin :

那看来幸好我看到了你在知乎的那个回答。

回复#10 @lincanbin :

它们之间的性能相比哪个更好？

我用的是UPUPW nginx版，新版把memcached改成redis了。

回复#113 @lincanbin :

多个文件显示11个月之前。

回复#8 @lincanbin :

建议是首先判断redis吧，比memcached好些。

回复#111 @lincanbin :

看Github，不过master分支倒是11个月之前的了。

回复#109 @lincanbin :

貌似是半年吧，没注意看时间。

回复#6 @lincanbin :

可能他不知道要清缓存吧，我改了之后清缓存才起作用。

回复#4 @celery :

谁都是从不会到会的，有个过程，我也不是计算机专业的，比较懂而已。

回复#2 @☜葙知☞➹ :

如果有梯子的话最好查Google，因为百度搜不到的东西很多。

你不会连UNIX时间戳都不知道吧。

而我还在用那个更新缓慢的大集成包OpenResty。

回复#1 @celery :

很明显能看出来，Nginx 1.10.0，PHP 7.0.6，系统是CentOS7，都是最新版的。

回复#107 @lincanbin :

原来我电脑里面的PHP手册还是去年10月份的……

最开始我确实打算用YouBBS的，后来发现你在知乎上面的回答才选择了CB。

回复#105 @lincanbin :

我是说过滤输入的方法，而不是说他用哪种PHP数据库扩展。

我这两天会做个实验看看到底有没有用。

回复#103 @lincanbin :

参数的转换是有意义的。

比如get请求ID=数字，如果用intval处理之后就可以避免注入，这是另一个轻论坛程序YouBBS之前的注入漏洞和修复方法：http://youbbs.sinaapp.com/t/1911

回复#101 @lincanbin :

之前在知乎看到有人说PHP预处理也不是100%安全，但是我也不能确定他说的是否正确。

其实严格过滤参数更重要，不是string的参数一定要转换成对应的类型，有些程序的用户注册是不允许有空格的，或许也是为了在某种程度上避免注入的发生。

不过我看过一些程序的数据库封装，基本上没有看到预处理语句，它们的设计还有待改进。

用户名可以是明文，放数据库的前提是加密足够强难以被破解，而且最好没有注入漏洞，不然还是不够安全的。

回复#98 @ivanilla :

数据就放数据库，不能改的就放常量配置文件。

如果配置文件里存管理员信息明文，那就更傻了。

回复#97 @lincanbin :

这些都只能手动修改，管理员信息可以保存在单独的文件中。

我上面提到的建站程序是把管理员信息放在用户数据表的。

回复#95 @lincanbin :

有些程序的配置文件会储存变量的，包括drupal，mediawiki等，不过可能会设置400权限。