@ioven 我说的没这么极端。。。我在 13 楼 说的意思是通过格式验证并不能校验有效性，能简化的尽量简化，就算把正则写出花了，复杂表达式和简单表达式在对安全性上的作用基本属于同一个量级。

@geelaw 哦，改不了啦，被你发现了~

@gesse 哈哈，神奇的在于配置是手写固定死的，还不更新，虽然经过 build 这个伪动态过程，按这个逻辑往上盘

想到一个绝佳的例子：
手机号，不会错的地方不校验也不会错，会错的地方怎么校验都可能出错。

注册：手机号要收验证码这种，就算不校验手机号格式，也 100%不会出错。
收获地址：手机号随便填大部分好像不会验证真实性，这个地方就算校验了格式，还是可能输错，而且还发货了，快递小哥找不到人这种。。

@sagaxu 无言以对，事实如此呀，记得前几年这个域名注册商哪里注册好了，然后自己很多地方自己都不支持这个域名，无奈~

@flyingghost 难在维护更新，要是他们会更新，也就不会导致这种问题。

@frye 这是导致不能用的安全。。

这个地方重要的应该是判断书写是否错误，而不是用来判断域名有效性。如果要判断输入有效性，应该判断这个域名的有效性（ DNS 解析、whois 之类的），而非特定格式。

@drydiy 大部分场合不需要这种多此一举的严谨，你觉得呢。尤其是这个扫码的，想想就怪怪的

@nervdy 我觉得微博这里就算不验证格式，随便写 abcd，也不会对业务逻辑产生任何影响，也不会有安全问题，你能用 abcd 这个域名访问微博接口，说明你已经持有了 abcd 这个域名，虽然这个域名看起来不合规。

留坑也比不能用好更好些吧~

挺好奇把这十几 G 的单个文件传上去的动机。。。不知道七牛有没有这种：寄堆硬盘过去把我的数据拷出来的服务

为啥这么针对 webview 套壳。。。套好了一个人勉强可以搞定安卓、水果（普通的应用在性能感知上来说区别不大，又不是搞游戏，开发者水平不够另说）； PC 网页、PC 客户端；外加小程序。其他技术有这么通用？没有！

看楼主发的价位，还是好好劝一下老板多招几个人省事点，要么就外包出去。

很多年前 看到过一个 jsonp 接口（ jsonp 哟），qq 自己家一个什么美食站的，只要本浏览器登录过 qq 空间，任意网站都能能随便调用拿到 qq 号。他家家大业大，不免有地方有漏洞，不知道现在的手段了（也不关注了）。

wtf。预览地址 admin 登录不了，注册不了

http://wx4.sinaimg.cn/large/a32300cdgy1fz5b2rjs6bj20ya0heq3u.jpg

@lhx2008 我觉得除了明文外，重放是最恶劣的底层协议缺陷。如果 https 能重放，那比 http 优越不到哪去，还不如回滚到大家都用 http 的时代，轻快省力，就是裸奔了点。重发≠重放，服务器收到这种包直接丢弃好像。

@weizhen199 #7 你的意思 https 包能重放？ https 原生抗重放吧

对服务器压力很大 亮了
也许 99.9% 的定时任务回调对服务器一点影响没有也说不一定呢

如果你的每天注册的用户是海量的。。会发现这是矛盾的。。因为那时候，可能并不会用一个任务通过一次来处理所有的数据

先让任务使劲搞，后面如果服务器确实因为这个任务产生了影响，那就再想办法呗，干嘛提前优化？

@lzxz1234 嗯，json 数据 我研究一下是后端处理简单还是前端处理简单

@shapl 厉害了这个 js 库，拿来用了

@66beta @wenzhoou
我也是这样想的，ID 这种处理起来比较简单。但 long 类型并不只是 id 会用到啊。可能某些计算结果也是 long 类型，如果忘记处理成 string，不就出乱子了么，而且忘记处理的有点难排查，因为测试时这个 long 值可能比较小，测试时不会出问题，就埋了个雷。

@lzxz1234 #2 这个地方难找，昨晚想了一晚上 还失眠了