分析php获取客户端ip 用php能获取客户端ip,这个大家都知道,代码如下: [php] viewplaincopyprint? /**  * 获取客户端ip  * @param number $type  * @return string  */  function getClientIp($type = 0) {      $type       =  $type ? 1 : 0;      static $ip  =   NULL;&nb...

http://blog.jobbole.com/41233/背景目前互联网上充斥着大量的关于RESTfulAPI（为方便，下文中“RESTfulAPI”简写为“API”）如何设计的文章，然而却没有一个”万能“的设计标准：如何鉴权？API格式如何？你的API是否应该加入版本信息？当你开始写一个app的时候，特别是后端模型部分已经写完的时候，你不得不殚精竭虑的设计和实现自己app的publicAPI部分。因为一旦发布，对外发布的API将会很难改变。在给SupportedFu设计API的时候，我试图以实用的角度来解决上面提到的问题。我希望可以设计出容易使用，容易部署，并且足够灵活的API，本文因此而生。 API设计的基本要求网上的很多关于API设计的观点都十分”学院派“，它们也许更有理论基础，但是有时却和现实世界脱轨（因此我是自由派）。所以我这篇文章的目标是从实践的角度出发，给出当前网络应用的API设计最佳实践（当然，是我认为的最佳了~），如果觉得不合适，我不会遵从标准。当然作为设计的基...

 在新浪微博的app中，从别的页面进入主页，在没有网络的情况下，首页中的已经收到的微博还是能显示的，这显然是把相关的数据存储在app本地。   使用数据的app本地存储，能减少网络的流量，同时极大提高了用户的体验（想想，很多数据都能在app本地获取，显示的速度当然快）。使用了本地存储后，需要考虑的是数据的增量更新方案。   什么是数据的增量更新？假设，用户A的首页在数据表中是有40条数据，id1-40，app每次获取10条数据。第一次运行，app从数据表获取了id1-10条数据同时存储在本地。假设用户离开了这个页面再回到首页，这时app需要再次从数据库中获取数据，由于之前已经有10条数据（id1-10）存储在app本地了，那么现在需要从数据库中获取的10条数据就是从剩余的30条中数据获取（id11-40）后并保存在app本地。这个就是增量更新的典型例子。   增量更新的原理是在数据库中，每条数据都必须有update_time这个值，记录数据最后更新的时间，当app从服务器获取了一次数据后...

在上文《16.app后端如何保证通讯安全--url签名》提到，url签名有两个缺点，这两个缺点，如果使用对称加密方法的话，则完全可以避免这两个缺点。在本文中，会介绍对称加密的具体原理，和详细的方案，使app通讯更加安全。　　采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。　　其实很简单，假设有原始数据"1000",把1000加５就得到密文"1005",得到密文"1005"后减５就得到原始数据"1000"。把原始数据加５就是加密算法，把密文减５就是解密算法，密钥就是5。　　本文所用的是AES这种通用的对称加密算法。　　(1)curl简介　　在下面的例子中，会使用curl工具，先简单介绍一下。　　curl是利用URL语法在命令行方式下工作的开源文件传输工具。　　用到的参数：　　-X:指定什么命令，例如post,get等。　　-H:指定httpheader。　　-d:制定httpbody的内容　　(2)怎么保证token在初次返回时的安全　　用下面的api返回加密的token　　curl-XPOST　　-H"Token-Para...

app和后端的通讯过程中，api请求有可能被别人截取或不小心泄露。那么，怎么保证api请求的安全呢？在这篇文章中，介绍一种常见的保证api请求安全的做法--url签名。　　在前一篇文章<15.app后端怎么设计用户登录方案>中，服务器中验证用户名和密码都正确后,生成一个随机的不重复的token字符串（例如"daf32da456hfdh"），在redis或memcache中维护一个映视表，建立token字符串和用户信息的对应关系表，例如，把token字符串"daf32da456hfdh"和用户id"5"对应起来，服务器把token字符串返回给app用作身份验证。　　这个身份验证是依赖于token字符串。如果用户泄露了自己的url,那很大程度上token也被别人泄漏了。　　怎么防止token被泄露？不让token在网络上传输就行。　　注意，这个url签名的方法是和前面＜15.app后端怎么设计用户登录方案＞紧密联系在一起的，没看过前面一篇文章请先看。　　(1)服务器中验证用户名和密码都正确后，把token字符串和用户id都返回给客户端，例如token字符串"daf32da456...

在很多app中，都需要用户的登录操作。登录，就需要用到用户名和密码。为了安全起见，暴露明文密码的次数越少越好。怎么能最大程度避免泄露用户的密码呢？在登录后，app后端怎么去验证和维持用户的登录状态呢？在本文中，给出了一套用户登录的解决方案，以供大家参考。　　避免信息的泄露，最简单的方案是所有涉及到安全性的api请求，都必须要使用https协议。　　HTTPS（SecureHypertextTransferProtocol）安全超文本传输协议　　它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层（SSL）作为HTTP应用层的子层。　　http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。　　注意了，https协议需要到ca申请证书，一般免费证书很少，需要交费。　　我们可以看看所有大型网站，例如京东，淘...

网站app被劫持怎么办?HTTPDNS阿里云域名防劫持, DNSPod移动解析服务D+HTTPDNS_移动开发_域名解析_域名防劫持-阿里云https://www.aliyun.com/product/httpdns?spm=5176.7960203.237031.141.DCBxKKHTTPDNS使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议，域名解析请求直接发送到阿里云的HTTPDNS服务器，从而绕过运营商的LocalDNS，能够避免LocalDNS造成的域名劫持问题和调度不精准问题。HTTPDNS防劫持绕过运营商LocalDNS，避免域名劫持，让每一次访问都畅通无阻。精准调度基于访问的来源IP，获得最精准的解析结果，让客户端就近接入业务节点。0ms解析延迟通过热点域名预解析、缓存DNS解析结果、解析结果懒更新策略等方式实现0解析延迟快速生效避免LocalDNS不遵循权威TTL，解析结果长时间无法更新的问题降低解析失败率有效降低无线场景下解析失败的比率稳定可靠99.9%的可用性，确保域名解析服务稳定可靠。===========================...

基于webview的Hybridapp和ReactNative及html5ReactNative结合了Web应用和Native应用的优势，可以使用JavaScript来开发iOS和Android原生应用。在JavaScript中用React抽象操作系统原生的UI组件，代替DOM元素来渲染等。ReactNative使你能够使用基于JavaScript和React一致的开发体验在本地平台上构建世界一流的应用程序体验。ReactNative把重点放在所有开发人员关心的平台的开发效率上——开发者只需学习一种语言就能轻易为任何平台高效地编写代码。Facebook在多个应用程序产品中使用了ReactNative，并将继续为ReactNative投资。reactnative-reactnative中文网http://reactnative.cn/如何评价ReactNative？-Android开发-知乎http://www.zhihu.com/question/27852694facebook开源的ReactNative听说这个比基于webview的Hybridapp要好很多...

网站app原型设计工具:axure,Mockups,墨刀BalsamiqMockups3网站原型设计工具非常高效，非常简单，几分钟就能搞定比axure好用很多墨刀-免费的移动应用原型与线框图工具https://modao.cc/墨刀是国内团队提供的一个基于浏览器的手机原型设计工具，号称10分钟设计一个手机app-----------------------------------axure应该是最基础的，功能也强大mockuplus和墨刀属于快速原型工具，就是满足需求的情况下mockplus和墨刀要比axure快捷方便，几乎不用怎么学，用起来非常简单。mockuplus可以导出pdf，原型设计导出html基本没用的，axure可以导出html但开发的基本上不会用那个的原型交互设计，UI视觉设计，前端开发人员是不同的角色 ...

原文：https://www.cnblogs.com/qingqing-919/p/8444816.html 对比使用Charles和Fiddler两个工具及利用Charles抓取https数据（App）实验目的：对比使用Charles和Fiddler两个工具实验对象：车易通App，易销通App实验结果：1.     接口数据呈现方式对比：（1）Charles树状结构呈现于屏幕，清晰易区分（2）Fiddler默认按时间倒叙呈现所有接口数据，不易区分个人觉得图形界面上Charles更易使用，当然可以通过过滤抓取的接口数据，这样Fiddler下也就很容易区分你要找的接口了。2.     针对车易通和易销通App抓取的接口数据全面性对比：（1）    Charles对于https无法直接获取到，可获取的呈现出来也都是乱码，需要安装ssl证书，后面会写具体设置方法。（2）    Fiddler可以直接抓取所...

方法一：本地安装安卓模拟器，用LR选择模拟器录制方式录制方法二：手机真机需要root，可以在电脑上下载一键root工具（如卓大师），然后手机和电脑用数据线连接，然后root。在手机上运行MobileRecorder“StartRecording”开始录制切换到你们的手机客户端，完成正常的操作步骤切换回Mobilerecorder，点“StopRecording” 用email发送抓到的数据包或者把数据文件（扩展名是lrcap）直接copy到VuGen上新建mobilehttp脚本->record->选择”Analyzetraffic”->capturefile选择上面生成的lrcap文件，指定server的IP和port或者手机的IP->Finish方法三；测试后台接口，参数化和进程数。弄清楚协议。...

简介：IBMAppScan该产品是一个领先的Web应用安全测试工具，曾以WatchfireAppScan的名称享誉业界。RationalAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入（SQL-injection）、跨站点脚本攻击（cross-sitescripting）、缓冲区溢出（bufferoverflow）及最新的Flash/Flex应用及Web2.0应用曝露等方面安全漏洞的扫描。 下载地址：http://yun.baidu.com/s/1eQ1lZB8破解方法：安装完成后，将LicenseProvider.dll替换“....IBMAppScanStandard”目录下同名文件，许可证处还是显示演示许可证，但扫描目标已经不受限制了 ...

一、测试周期测试周期一般为2~3天，根据项目情况以及版本质量可适当缩短或延长测试时间。正式测试前先向主管或产品经理确认项目排期。二、测试资源测试任务开始前，检查各项测试资源。产品功能需求文档、概要设计文档（包含非本期开发的产品功能部分）产品原型图（包含非本期开发的产品功能部分）产品效果图（包含非本期开发的产品功能部分）测试用例（包含非本期开发的产品功能部分）行为统计分析定义文档测试设备（ios7-ios8；Android2.3-Android4.4,也可兼容到5.0）其他（例如有限时抢购类的项目，需要规划时间表；有优惠券使用的项目，需要申请添加优惠券数据；支付宝/银联支付功能的项目，需要提前申请支付宝/银联账户等等）三、测试要点接收版本个人认为，我们目前的团队可以略过，但需要在svn上创建分支，称为“测试版本分支”，在发布后，代码进行封存。在测试之前，需要向主管、产品经理确认当前测试版本的版本号与版本名要区别对待本期开发的功能与已发布的功能UI测试确保手头的原型图与效果图为当前最新版本。确保产品UI符合产品经理制定的原型图与效果图。一切界面问题以效果图为准，若有...

在HTTP接口的测试过程中，一般我们会按照如下的步骤进行：   1）测试环境的准备2）HTTP消息体的构造3）HTTP消息的发送及断言如果我们可以拿到项目组的接口文档，并且HTTP后台服务是可以工作的，那我们的接口测试会非常顺利，可以不使用Fiddler工具。但是，实际情况中，不断的测试前移，需要我们的接口自动化测试用例在编码工作还未完成的情况下，就能准备完成。代码开发完成之后，直接运行自动化用例。这种情况下，Fiddler工具就能大显身手了。本文介绍两种Fiddler工具的使用场景：1）在没有接口文档的情况，使用Fiddler抓包，获得HTTP后台接口；2）在没有HTTP后台服务的情况下，使用Fiddler模拟服务端。 1 移动APP下Fiddler 抓包为了行文及截图方便，我们使用android模拟器操作，真机的操作步骤一样：1）让手机和PC在同一个局域网下面，如果PC是笔记本，它们连接同一个wifi网络即可2）找到PC的IP地址，如下图，运行ipconfig，得到192.168.0.103： 3）在Fiddle...

转载自：http://www.cnblogs.com/findyou/p/5388853.html说明，本文为学习参考，将于一段时间后删除。前言   前两篇普及相关基础知识后，本篇主要对举例对国家气象局接口自动化测试进行讲解(Get请求及结果断言)，以达到自动化测试入门目的，除了前两篇的一些了解外，需要有一定的JAVA知识（HTTP相关）。 目录3.1HTTP接口(GET)测试实例3.1.1待测接口说明3.1.2新建JAVA工程1.工程目录说明2.Common.java源码3.getCityWeathe.java源码4.URLConnection.java源码3.1.3编写测试用例1.测试用例2.简化后的用例3.1.4执行测试用例 以下实例均为本次总结再次编写，,如转载还请保留出处与作者姓名Findyou，谢谢！  例：北京市天气 接口的址：http://www.weather.com.cn/data/cityinfo/101010100.html请求方式：GET请求结果：{  &nbs...