V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
liangmishi
V2EX  ›  Python

通过 tornado 搭建了一个个人网站

  •  
  •   liangmishi · 2016-05-07 17:31:37 +08:00 · 7729 次点击
    这是一个创建于 3151 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://tor1024.com/ 发表文章时没有使用编辑器,有点想类似 V2EX 这样,但是这样发表的文章该换行的没换行,于是代码段只能使用 pre 标签,才能有换行。 参考了其他网站都是一段一段的很多 p 标签,那不是说在发表的时候要一边编辑一边自己加 p 标签? 而且这样有个问题,这如果过滤不当,不就会照常漏洞了吗?

    第 1 条附言  ·  2016-05-07 21:51:54 +08:00
    服务器被 DDOS ,网站打不开!大家别点了,晚点来
    第 2 条附言  ·  2016-05-07 21:56:23 +08:00
    现在可以访问,尴尬...
    55 条回复    2016-05-14 09:21:49 +08:00
    liangmishi
        1
    liangmishi  
    OP
       2016-05-07 17:33:47 +08:00
    修改一下错别字:造成漏洞
    111111111111
        2
    111111111111  
       2016-05-07 18:19:05 +08:00 via Android   ❤️ 1
    录入或者输出的时候,把内容中的 html 关键字转义,再把换行符替换成 br 标签或者 p 标签。
    YUX
        3
    YUX  
       2016-05-07 18:23:48 +08:00   ❤️ 1

    该用户可用能不能改成绿色?
    密码太短了,建议支持到 50 位
    just1
        4
    just1  
       2016-05-07 18:24:44 +08:00 via Android
    @YUX 一般也就 20 , 50 太多了
    YUX
        5
    YUX  
       2016-05-07 18:28:58 +08:00
    @just1 V2EX 就支持 50 位 1Password 自动生成最大就是 50 位
    just1
        6
    just1  
       2016-05-07 18:59:18 +08:00 via Android   ❤️ 1
    @YUX 少数而且根本没有没有必要。
    liangmishi
        7
    liangmishi  
    OP
       2016-05-07 19:24:10 +08:00
    @111111111111 内容如果有换行再存入数据库,再取出来就没掉了,用的是 sqlite 数据库。 所以我在录入的时候就得处理。 头疼的是,输出的时候用的是一个过滤器,过滤之后,《 br 》也正常输出成《 br 》
    liangmishi
        8
    liangmishi  
    OP
       2016-05-07 19:24:42 +08:00
    @YUX 谢谢,有道理
    liangmishi
        9
    liangmishi  
    OP
       2016-05-07 19:25:34 +08:00
    @just1 进了你的个人博客,你才高一??
    kslr
        10
    kslr  
       2016-05-07 19:25:40 +08:00
    @just1 你的依据是什么
    kslr
        11
    kslr  
       2016-05-07 19:27:54 +08:00   ❤️ 1
    @liangmishi 使用参数绑定后不需要过滤或转换
    liangmishi
        12
    liangmishi  
    OP
       2016-05-07 19:29:57 +08:00
    @YUX 你的 yux-io.com 站的评论功能好像在哪见过..
    vJianZhen
        13
    vJianZhen  
       2016-05-07 19:34:45 +08:00   ❤️ 1
    文章页面的 title 最好改成文章的标题之类的,全站用同一个标题不好认内容。
    Slienc7
        14
    Slienc7  
       2016-05-07 19:38:08 +08:00 via Android
    18 密码太短,最少也得 20 , 32 位更好。
    cevincheung
        15
    cevincheung  
       2016-05-07 19:40:02 +08:00
    为什么密码要限制长度?不是存的散列么?
    YUX
        16
    YUX  
       2016-05-07 19:44:03 +08:00   ❤️ 1
    Kilerd
        17
    Kilerd  
       2016-05-07 20:16:50 +08:00
    第一次见到标题不能点击的博客。
    wtbhk
        18
    wtbhk  
       2016-05-07 20:29:28 +08:00
    20 位以上的密码比你想象中的多
    roychan
        19
    roychan  
       2016-05-07 20:34:56 +08:00
    liangmishi
        20
    liangmishi  
    OP
       2016-05-07 20:41:23 +08:00
    @kslr 使用的 mako 模板,不太明白参数绑定是啥。
    liangmishi
        21
    liangmishi  
    OP
       2016-05-07 20:42:50 +08:00
    @Kilerd 我去改改
    liangmishi
        22
    liangmishi  
    OP
       2016-05-07 20:43:31 +08:00
    @wtbhk 现在已经可以支持 50 位
    liangmishi
        23
    liangmishi  
    OP
       2016-05-07 20:45:48 +08:00
    @roychan 不错不错,很厉害
    ivmm
        24
    ivmm  
       2016-05-07 21:04:59 +08:00
    点标题不能进入文章,真实瞬间爆炸啊
    qcloud
        25
    qcloud  
       2016-05-07 21:09:15 +08:00
    我认为敢在 V2 发链接的都是英雄好汉 - -
    Kilerd
        26
    Kilerd  
       2016-05-07 21:20:22 +08:00
    @liangmishi 密码限制长度完全没道理,毕竟你存的是 hash 值。 如果你限制了位数,会让我有种明文储存的嫌疑
    niepan0oo
        27
    niepan0oo  
       2016-05-07 21:21:01 +08:00
    刷了半天没进去。
    wjself
        28
    wjself  
       2016-05-07 21:21:23 +08:00 via Android
    tor … 1024 …這域名都什麼跟什麼啊( •̀ㅁ•́;),簡直傷害了我純潔的心靈!
    bearqq
        29
    bearqq  
       2016-05-07 21:22:20 +08:00 via Android   ❤️ 1
    我用富文本编辑器,提交后白名单过滤
    liangmishi
        30
    liangmishi  
    OP
       2016-05-07 22:47:41 +08:00
    @qcloud 好玩哈哈哈
    liangmishi
        31
    liangmishi  
    OP
       2016-05-07 22:49:24 +08:00
    @bearqq 百度了下好像还不错哦
    liangmishi
        32
    liangmishi  
    OP
       2016-05-07 22:53:31 +08:00
    @Kilerd 之前有在网上见过一个系统的漏洞,字符太长有可能造成漏洞,然后就在我心里造成阴影了...
    liangmishi
        33
    liangmishi  
    OP
       2016-05-07 22:57:03 +08:00
    @wjself 我纯洁的心灵也被你伤害了啊!!
    just1
        34
    just1  
       2016-05-07 23:33:07 +08:00 via Android
    @liangmishi 是,高一。
    wjself
        35
    wjself  
       2016-05-07 23:47:45 +08:00 via Android
    @liangmishi 還有標題… py …爬蟲?好可啪!!!嗚哇哇哇!表啊!
    ooTwToo
        36
    ooTwToo  
       2016-05-08 00:40:42 +08:00
    用了 bootstrap 居然没有做响应式布局。。
    liangmishi
        37
    liangmishi  
    OP
       2016-05-08 00:44:35 +08:00
    @wjself 别怕 去找警察叔叔
    liangmishi
        38
    liangmishi  
    OP
       2016-05-08 00:45:31 +08:00
    @ooTwToo 学没多久,前端没什么基础
    YUX
        39
    YUX  
       2016-05-08 00:51:14 +08:00
    诶哟不错哟 提的两条建议都采纳了
    boboliu
        40
    boboliu  
       2016-05-08 00:55:00 +08:00
    @just1 上天的同学,,,你这是直接上了我的终点线啊。。。
    just1
        41
    just1  
       2016-05-08 09:04:50 +08:00 via Android
    @boboliu (⊙o⊙)…
    boboliu
        42
    boboliu  
       2016-05-08 09:13:33 +08:00
    @just1 _(:3 」∠)_看了几眼你的博客,感觉被 dalao 远远地甩在了身后。。。
    just1
        43
    just1  
       2016-05-08 09:48:45 +08:00 via Android
    @boboliu 😂第一次有人这么说
    liangmishi
        44
    liangmishi  
    OP
       2016-05-08 10:08:52 +08:00
    @cevincheung 老感觉没限制总是不好的
    liangmishi
        45
    liangmishi  
    OP
       2016-05-08 10:14:10 +08:00
    @YUX 两条建议都挺有道理,多谢指点噢 ^_^
    cevincheung
        46
    cevincheung  
       2016-05-08 11:35:22 +08:00
    @liangmishi 总感觉有限制最大长度的网站都是存的明文密码。
    qgy18
        47
    qgy18  
       2016-05-08 21:07:01 +08:00 via iPhone
    @qcloud
    原来你知道 v2 这么危险,那你还发我的链接。。。
    qcloud
        48
    qcloud  
       2016-05-08 21:22:41 +08:00
    @qgy18 2333 ,怪我咯
    qcloud
        49
    qcloud  
       2016-05-08 21:22:52 +08:00
    @qgy18QAQ ,怪我咯
    liangmishi
        50
    liangmishi  
    OP
       2016-05-08 22:46:58 +08:00
    @qgy18 偷偷抄了你的博客的首页... 感觉抄不来...
    afxcn
        51
    afxcn  
       2016-05-09 00:49:43 +08:00
    @qcloud 我发了个链接,好像没什么危险,没有人来 DDOS 。

    https://www.v2ex.com/t/277202
    mcds
        52
    mcds  
       2016-05-13 19:30:37 +08:00   ❤️ 1
    哥们,你的留言板有 xss 漏洞啊
    liangmishi
        53
    liangmishi  
    OP
       2016-05-13 20:26:32 +08:00
    @mcds 评论那块有,今天就是你提醒我的吧~非常感谢哈哈~~~
    liangmishi
        54
    liangmishi  
    OP
       2016-05-13 20:28:11 +08:00
    @mcds 之前学习过一段关于安全的常识,这次居然犯了这种大错
    mcds
        55
    mcds  
       2016-05-14 09:21:49 +08:00
    @liangmishi 哈哈,其实我也是随手一试,加油,共勉~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   904 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:33 · PVG 06:33 · LAX 14:33 · JFK 17:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.