楼主发帖的时候，我看了没有，现在看又有了，已领已用。可能是要审核吧，上班了才放券。

array_merge 那行有用？看得我有点怀疑我对 PHP 的了解了。

extract 可以在第二个参数传入 EXTR_SKIP 不覆盖已存在的变量。

模板变量你不该直接传入用户输入，你要先过滤好再传入，所以安全过滤也不在这里过滤。

@JunStone 就是一年不用成为睡眠账户，自动注销。

跟骗局差不多，捞钱无底线。

当你不用半年，就会开始扣管理费，一直扣到你余额为 0，运气不好的能扣成负数。最奇葩的是，如果你想注销，你还要另外给一笔钱，之前是 110，后来好像是 80 。

去年国家要求清理一年以上的睡眠账户，这才得已免费注销。找别的路子吧，坑死没商量。

@sxbxjhwm 不如简单改造一下业务适应 Cloudflare 。

双向 TLS 验证环节独立出来做一个登录服务，部署在自己的服务器或者亚马逊、阿里云的 API 网关（这些支持 HTTPS 双向认证），用户证书验证后带令牌跳转访问在 Cloudflare 的业务域名。

业务域名通过 Cloudflare Workers 的边缘脚本验证令牌，通过才把请求转到后端。令牌可以是 JWT，也可以允许吊销，Workers 支持 KV 键值存储。Workers 也不贵，每天 10 万次免费，付费最低 $5/mo 支持一千万请求了。

这样主业务依然受 Cloudflare 防护，万一登录服务被攻击，临时不能登录也不影响已登录用户，影响不会太大。

不敢用三大运营商的服务器。

从运营商宽带流量长期存在劫持的情况来看，运营商要么有内鬼，要么没技术去解决劫持问题。

cf 的不了解，百度智能云 CDN 和阿里云 CDN 支持，可以试试。阿里云的没开放控制台自助配置，要提交工单问。

在内网的攻击方式叫横向传播，多得是吧，前两年那个永恒之蓝下载器就是有多种横向传播的方式，搞了很多大中型企业内网。

在经典网络下，不同账号内网互联互通，才要担心第三方服务器中木马了横向传播过来。

现在有 VPC 了，不同账号默认是内网隔离的，只要自己的 VPC 内没有中毒的就不怕，别人中毒是别人内网的事。

努力跟成功不一定是强关系，也可能是是弱关系。很多时候，努力不是充分条件，只是必要条件，有的时候甚至都不必要。

A 才是讲道理的。B 是讲本事的，B 的意思是 ta 只关注你是否成功，努力过程是你自己的，你成功了放屁都是香的，你只有成功了 ta 才会关注你的过程，你不成功就别跟 ta 说你努力了。

A 这种态度才是对待家人的态度。B 的态度就是典型的上司对下属的态度，只要结果，不管过程。

别做梦。做产品，最不重要的就是思路，重要的是可投入的资源，包括钱、人、政策。比淘宝做得早的同类产品，比微信做得早的同类产品都有得是，不都完蛋了。

所以，回到十年前，不想坑人就买比特币，无底线一边买比特币一边搞 ICO 和 P2P，捞几十亿，再来做你想做的。

对象存储 + CDN，建议用腾讯云或者百度智能云的，因为阿里云的 CDN 除了流量计费，HTTPS 请求也计费。

你 rewrite 下面的代码已经没有机会执行了，怎么改都是徒劳，因为你的 rewrite 已经全量重写到 .gz 后缀，而你这个 location 只匹配 .css 和 .js 后缀。

使用本地的预压缩文件很简单。这样配置，访问 /test.css 的时候 Nginx 会先去找 test.css.gz ，如果有就返回，无则找 test.css 返回。

location = /test.css {
gzip_static on;
gunzip on;
}

但是反代这样配置就不行（不确定支不支持，我不知道原因）。

如果你确定请求路径在后端一定有 gz 文件，你可以重写路径，定向到 gz 文件并添加一个 content-encoding=gzip 的 header，这样就能返回预压缩文件给客户端。

rewrite /test.css /test.css.gz break;
location = /test.css.gz {
proxy_pass https://cos;
add_header "content-encoding" "gzip";
}

但也有个问题，这样不兼容不支持 gzip 的客户端，要兼容，你得先判断客户端 Accept-Encoding 有没有 gzip，如果没有还是得另外返回原文。

用对象存储做后端最方便的还是对象存储放未压缩的 css/js 文件，前端 Nginx proxy 的时候开启 gzip on 就好了，反正是静态文件，可以设置 proxy_cache 读取一次就缓存在本地。

用户设置密码 abc，如果数据库保存明文 abc，一旦泄露就等于泄露密码，黑客就可以登录。

所以服务器不存密码明文，存摘要的哈希值，比如存 md5("abc") 的结果 900150983cd24fb0d6963f7d28e17f72，但登录只接受明文输入，不接受哈希值。

当黑客脱裤没拿到明文 abc，只拿到了哈希值 900150983cd24fb0d6963f7d28e17f72，他们就要想办法知道哈希值对应哪个明文。于是他们就穷举出尽可能多字符串的哈希值，做成一个表，叫彩虹表。拿着表逐个去对，哈希值对上了就知道是哪个明文了。

为了防止彩虹表这种破解方式，于是就有了盐 salt，在摘要的时候加进去，比如 md5("a 盐 1b 盐 2c 盐 3")，这样一来摘要输入变长了，简单的彩虹表就不够用了，得制作足够大的彩虹表去对，而且就算你对出来了你还要知道哪部分是盐哪部分是真正的密码。

绝了，现在连工单都能收费，有百度内味儿了，能卖尽卖。

getName2 是设为内部值，内部其他方法还是可以改的，重新实例化 Person 也会重置它。

getName1 是把值存起来了，改不了了，就算你重新实例化 Person 也改不了了。

@fengxuejuan 好像有的程序在多线程下遍历循环也有这个问题吧，其中一个线程直接跳到 == 后面去了，死循环。以前听说的，我从来没遇到过，但特别怕遇到这种不好排查的问题，所以也养成了用 <= 和 >= 的习惯。