旁观者（郑昀）

@郑昀汇总 创建日期：2012/9   Application Design： 1）如果发现query没使用你预期的索引，请用hint强制使用指定索引 主站商品中心所使用的文档字段很多，各种索引建得也不少。在沙创排查慢查询时，曾百思不得其解，为什么明明建的有联合索引，查询起来还是非常慢呢，直到显式指定使用该联合索引。 hint的例子：     db.collection.fi...

郑昀 创建于2014-01-12； 最后更新于2014-01-13.   找回密码功能是漏洞传统重灾区，下面列出两个经典错误点，请引以为戒吧Web开发工程师们！ Web安全： 一）以为用户不会抓包不会看源码不会分析表单参数，HTML文档和表单里想写啥就写啥 1）某手网： +手机App的忘记密码功能： 首先，通过抓包分析，发现密码重置接口可以Web访问；其次，填入手机...

郑昀 创建于2015/6/30 最后更新于2015/10/13 关键词：成长，知识体系，学习金字塔，论坛，博客，RCA，分享会 本文档适用人员：技术人员   面试的时候，我会问面试者，你日常如何构建自己的知识体系，如何让自己更高更快更强？多数工程师并没有深入地思考过这个问题，基本上是零敲碎打，随机性大。 本着不能让你白来一趟的精神，好为人师的我会娓娓道来：   第一阶...

续上篇《Web开发基本准则-55实录-Web访问安全》。 Web开发基本准则-55实录-缓存策略 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月26日 提纲： Web访问安全 缓存策略 存储介质连接池 业务降级 并发请求的处理 关键词： 会话串号，Cache-Control头域，缓存穿透，缓存集体失效，缓存重建，缓存雪崩，缓存永不过期，缓...

郑昀 基于刘勤红和石雍志的实践报告 创建于2015/8/13 最后更新于2015/8/19 关键词：压测、TCPCopy、仿真测试、实时拷贝流量 本文档适用人员：技术人员 提纲： 为什么要做仿真测试 TCPCopy是如何工作的 实作：仿真测试的拓扑 实作：操作步骤 可能会遇到的问题 ip_conntrack 少量丢包 离线重放 不提取7层信息 观测的性...

郑昀 创建于2015/5/19 最后更新于2015/8/7 关键词： Web安全、系统安全、Web开发、找回密码、重置密码 本文档适用人员：广义的技术人员 提纲： 堡垒是从内部攻破的 员工无知者无畏 运维配置暴露细节 后台不设防 常犯常新，屡战屡败 找回密码 图形和短信验证码 平行权限 MD5等于明文 处处留心皆学问 表单被篡改 ...

  Web开发工程师请阅读下面的前端开发准则，这是第一部分，强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点。尤其是一些从传统软件开发转入互联网开发的工程师，请仔细阅读，不要因为忽视这些基础点而制造一个又一个的漏洞或突发事件。   Web开发基本准则-55实录-Web访问安全 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月14日 提纲： W...

@郑昀 整理 标准做法一：OOM触发HeadpDump 目的： OOM发生时，输出堆栈快照文件，供研发人员分析。 在JVM中，如果98％的时间是用于 GC 且可用的 Heap size 不足2％的时候，将抛出 OOM 异常。 配置操作： Resin/Tomcat 配置文件里追加 -XX:+HeapDumpOnOutOfMemoryError ，当 OutOfMemoryEx...

郑昀 创建于2014/11/10 关键词：财富观、对题集、一票否决、业务收敛、持续集成、预研、培训、公开演讲、传承 本文档适用人员：研发干部 提纲： 研发财富观——问题和事故都是财富 挤出人力做预研课题 减少痛苦和抱怨——持续集成 QA一票否决 风险收敛——关键业务逻辑收敛到业务中心 技术分享和职场培训并行  0x00，我们一定做对了什么，当然，也做...

（研发系）职业化8个细节  @郑昀 北京报道 2013-03 警报自动、少、精、准 目的 主管要第一时间知道系统隐患 不要在发现和查询蛛丝马迹上浪费宝贵时间 自动化是王道 别让泛滥的、无关痛痒的、信息不足的警报折磨你 手段 工具 Nagios Python 方式 报警邮件 N分钟扫描一次 每天汇总一次 报警短信 ...

@郑昀汇总 创建于2012/11 发布版本号：v1.3 概念： 退款期限，交易，交易关闭，交易结束，掉单，幂等性，数据一致性   关键词： 历史记录不得直接篡改原则， 交易关闭通知处理，退款处理结束通知， 掉单被动处理，掉单主动处理， 多个渠道的重复支付处理， 支付成功时商品不可售卖的处理， 订单金额变化交易流水号变化规则， 推送订单不得包含违禁词， 支付通知并发到达的...

郑昀 汇总 20130320 职业化所包含的行为模式 ——总有一些工作套路是可以带走的 （1） 任务已读回执模式 示范A 数据中心的应答 收到数据提取邮件后立即应答： 应答人：某某 数据提取时间：1小时 示范B 测试环境你提测的工程跑不起来 收到QA的通知后立即应答： 应答人：提测接口人 立刻过去排查？十分钟后排查？ 是某某业务中心的问题，我找...

最佳实践系列：前端代码标准 @窝窝商城前端（刘轶/李晨/徐利/穆尚）翻译于2012年 版本0.55 @郑昀校对 isobar的这个前端代码标准和最佳实践文档，涵盖了Web应用开发的方方面面，我们翻译了大部分章节，并做了注解。请仔细阅读用标记的段落。 关键词列表： 渐进增强；Combo Handler；Quirks Mode；浏览器盒子模型；选择器特殊性；Spacer Image；CSS ...

郑昀总结 最后更新于2013年6月19日 存储介质 Redis Java-Driver Jedis 连接池：Jedis的连接池设计基于 Apache Commons-Pool 原生库： maxActive：可用连接实例的最大数目，默认值为8； maxIdle：空闲连接实例的最大数目，默认值也是8； minIdle：空闲连接实例的...

创建人：@郑昀 更新日期：2013年5月8日 分类: 前端技术   优化的重要指标： 页面打开速度（Fully Loaded） 网站首页（或列表页）之 First View ：打开速度应在 3秒+0.5秒 内； 对 Repeat View 时的各项指标暂不作要求； 首屏打开时间（Start Render） 网站首页（或列表页） 之 First View ：首屏...

@郑昀汇总 创建日期：2012/10   #意识 ASAP (As Soon As Possible)原则 当线上出现诡异问题， 当你意识到靠现有的日志无法定位问题时， 当现象难以在你的开发环境重现时， 请不要执著于枯坐肉眼看代码，因为：一）不一定是你代码逻辑问题，可能是脏数据造成的，是老业务数据造成的，是分布式环境造成的，是其他子系统造成的；二）线上业务处于不稳定中，条...

郑昀 创建于2014/5/19最后更新于2014/5/22友情赠送一篇：被小伙伴们蠢哭了的那些事儿：找回密码篇 (2014-01-13)   杀手级命令：rm -rf 2014-5-17-某软件公司在生产环境误删数据库文件 悲剧一： 妹子在生产服务器上本意删除Oracle，但脚本中有一句：rm -rf $ORACLE_BASE/* 不幸变量 ORACLE_BASE 未...