看热闹看热闹，呼叫 @DIYgod

高峰期看哪个进程占的 CPU ， PHP 就先对 PHP profiling ， MySQL 就查 SQL

域名交易最好还是走域名交易平台或者中介，比咸鱼更可靠。
但对方直接让你打款也是很过分。

@crepesofwrath 以前小公司开项目都不是 PHP 程序员开出来的，而是一个国内 CMS 加一个懂一点点的前端折腾一个月就出来了，然后做 SEO ，流量还真上来了…… 这个时候再去接手，就相当被动。

都出过问题 => 都没出过问题

@crepesofwrath 以前小单位，运维也是程序员管， DedeCMS 三天两头出问题，被人提权了还要跑机房，因为他们拔网线…… 经过这样的设置后，后来几年都出过问题，只需要定时去目录里收割 php 木马，看看最近又流行什么木马了。

居然不是集成 Let's Encrypt 而是 WoSign ，情怀没了

针对 PHP
一、我建议甚至 Web 目录也不要开写权限，只有明确需要写入缓存和静态文件的文件夹才需要写权限。
二、有写入权限的文件夹最好不要开 PHP 解析权限。

有大量安全漏洞的程序（类似 DedeCMS ）经过这样设置，出问题概率降低一个级别。

@crepesofwrath 只是一个 SQL 注入点而已。

我直接关了，反正微信也有消费推送

前几天在安全渗透测试的时候还用 mysql load_file 去读 php 源文件然后找到源码中的漏洞进后台。
正常情况下 mysql 用户不应该能读取 Web 文件。

再举个例子，前段时间 redis 因为以 root 启动+端口开放到公网，结果能够往 authorized_keys 写数据。
假设 redis 不是 root 启动，但你 Web 目录 777 ，还是有权限往上面写个 WebShell （假设没开 SELinux 或 AppArmor ）

抓的是 m.weibo.cn 还是 weibo.com

@bk201 会被封账号，别问我怎么知道的