「淺談WAF在AWS的架構」小聚筆記

新知：

1. OWASP top10 => https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
2. CVE & NVD
3. PCI DSS
4. DVWA => 資安測試

需研究：

1. aws vpc
2. aws alb
3. aws cloudfront cooperate with waf

        總結來說aws的waf以業界的waf廠商來看還不是這麼完善，像log只能追到三小時前，不然只能自己寫script去定時抓，或是per web ACL只能支援10條....etc，不過夾帶著aws可以跟其他service一起管理的優勢，以及之後aws一定會更完善waf的架構，市佔率一定也會穩定提升的吧。

        講者建議白皮書必讀，六月剛發行的。

介紹php array_map

        有時候需要對array做一點另外的處理，譬如為每一個value做另外的處理：

$nameAry = ['Hong', 'Peiwen'];

$helloNameAry = array();
foreach ($nameAry as $name) {
    $helloNameAry[] = 'hello, ' . $name;
}

var_dump($helloNameAry);

        幫每一個name都加上一個hello，結果會是：

        但這樣一來可讀性很低，而且需要多新增一個$helloNameAry的參數去存result。

        這時候array_map就能派上用場了：

function addHello($name)
{
    return 'hello, ' . $name;
}

$nameAry = ['Hong', 'Peiwen'];

$nameAry = array_map('addHello', $nameAry);

var_dump($nameAry);

       這裏array_map會遍歷所有array的value去跑callback function，這裡的callback function指的是addHello，這樣寫的話，不僅重新parse array value的function可以複用，而且寫起來也比較優雅。

       如果不想另外另一個function的話，也可以直接寫在array_map的parameter裡面：

$nameAry = ['Hong', 'Peiwen'];

$nameAry = array_map(function ($v) {
    return 'hello, ' . $v;
}, $nameAry);

var_dump($nameAry);

        $v就是遍歷$nameAry裏的value，結果都會是：

參考資料：

http://php.net/manual/en/function.array-map.php

zshrc搞壞的補救方法(zsh: command not found: vim)

        現在人大部分都會裝iterm2+zsh，而裝了zsh的關係，設定檔也會從.bashrc or .bash_profile變成.zshrc。

        今天要討論的就是萬一把.zshrc的PATH改壞了，而且又source它發生憾事的時候，該如何處理？

        首先當下一定會看到類似這個狀況：

        command明明就存在，但是zsh卻一直報錯，嘗試著用vim去編輯.zshrc也沒辦法，似乎就卡在這裡無法做任何事了。

        要解決這件事，首先我們可以先把zsh切換為原本的bash，用bash的環境去執行：

exec bash -l

        -l 就是login的意思，換成--login or -login也可以：   exec bash --login。

        接著就可以用vim去把.zshrc修回來囉！

        source完變更之後，zsh又是一條好漢！



        參考資料：

http://stackoverflow.com/questions/10341271/switching-from-zsh-to-bash-on-osx-and-back-again

public vs protected vs private比較

        這是在php裡，最常看到三種宣告function的方式。

        下面用code做個簡單解說：

class Test
{
    public function public_function()
    {
        echo 'I am public function!';
    }

    protected function protected_function()
    {
        echo 'I am protected function!';
    }

    private function private_function()
    {
        echo 'I am private function!';
    }
}

$test = new Test();

$test->public_function();

       這三個宣告方式，如果要在class外面使用的話，只有public可以，因為public意思就是公眾化的，開放的，大家都可以任意取用的。

       而protected則是要透過parent class的用法，也就是extends就能調用了：

class Test
{
    public function public_function()
    {
        echo 'I am public function!';
    }

    protected function protected_function()
    {
        echo 'I am protected function!';
    }

    private function private_function()
    {
        echo 'I am private function!';
    }
}

class Test2 extends Test
{
    public function call_parents_function_protected()
    {
        $this->protected_function();
    }
}


$test = new Test();

$test->public_function();

$test2 = new Test2();

$test2->call_parents_function_protected();

        像這樣的方式，就能成功調用了！

        至於private在所處的class裡面才能調用：

class Test
{
    public function public_function()
    {
        echo 'I am public function!';
    }

    protected function protected_function()
    {
        echo 'I am protected function!';
    }

    private function private_function()
    {
        echo 'I am private function!';
    }

    public function call_in_same_class()
    {
        $this->private_function();
    }

}

$test = new Test();

$test->call_in_same_class();

        這樣就行了！

        總結來說，public大家都能取用，protected則是父類別才能使用，private則是只能在宣告function的class裡面使用。



        參考資料：

http://stackoverflow.com/questions/4361553/what-is-the-difference-between-public-private-and-protected

__call()的妙用

        php有個magic method叫__call()，寫法是這樣的：

class Demo
{
    public function __call($function , $args)
    {
        echo 'function: *' . $function . '* don\'t exist!';
    }
}

(new Demo)->target();

        __call的兩個參數可以任意取名，只要確定是兩個就好。

        當呼叫的target不存在，class Demo就會轉為呼叫__call()，讓開發者可以去設定如果function呼叫不到的時候做的事情，以上面的code執行下來，結果會是：

function: *target* don't exist!

        當沒有建立__call()的時候，會出現報錯：

Fatal error: Call to undefined method Demo::target() in /Users/Hong/php/test/test.php on line 11

        這裡有個今天讀code剛學到的小技巧：

class Animal
{
    public function __call($function , $args)
    {
        if ($function == 'dog') {
            $this->bark();
        } elseif ($function == 'cat') {
            $this->meow();
        }
    }

    private function bark()
    {
        echo 'bark!';
    }

    private function meow()
    {
        echo 'meow!';
    }
}

(new Animal)->dog();

        假設今天不確定動物的叫聲，這裡只需要呼叫動物的種類當作function name，然後因為Animal class找不到該function name，所以會呼叫__call()，__call()拿到之後就可以根據該function name去做對應的動作。

        注意到了嗎？本來應該是找不到function name做的預防措施，這邊卻反過來利用了這個特性，故意讓class找不到該function name，然後做統一分發。

        所以如果運用到API的溝通部分就是，先看看$_SERVER['REQUEST_METHOD']進來的是什麼，GET，POST，PUT？接著再從__call()統一分發到對應的function去呼叫後端API，達到整合的作用。

        寫code真的是一門永遠無法精通的學問，就算把單一語言的特性跟用法用得滾瓜爛熟，但永遠都會有更出其不意，或是更聰明的方式去完成任務，這次的__call()反其道而行的用法著實讓我大開了眼界。


參考資料：

http://php.net/manual/en/language.oop5.overloading.php#object.call

error_reporting 與 display_errors 區別

        當安裝好php，並開始coding的時候，有時候會看到頁面報錯：

        或是看到有warning，但頁面依然正常執行：

        身為開發人員，看著報錯上的提示去debug是很重要的，但有時候已經到了demo階段，頁面上有的報錯還來不及解決，在漂亮的UI上如果出現幾行Notice，會嚴重影響美觀以及客戶對系統的第一印象，這時候便需要對報錯的機制做一些調適。

        在mac安裝好php之後，會有一個php.ini的參數配置檔，php在server上運行就是靠這個配置檔，我是用brew安裝的，php.ini路徑在/usr/local/etc/php/x.x/php.ini，根據版本的不同再去更改x.x就好。

        預設的配置為：

        可以看到，php.ini在不同的環境下有不同的建議配置。

        display_errors在開發的時候，建議用On，但是正在線上運行的專案則是Off，開發的時候秀出錯誤，盡可能方便掌握系統的狀況，而在線上環境的時候，保持頁面的整潔，不出現抱錯or程式碼。

        error_reporting有很多種配置方式，在php.ini裡都有很好的說明，而~則是代表不包含，例如E_ALL & ~E_DEPRECATED & ~E_STRICT就是秀出所有error，但除了E_DEPRECATED以及E_STRICT，這點在php.ini裡也有解釋。

        但error_reporting以及display_errors到底差在哪？

        display_errors意思是要不要秀到頁面上，也就是一開始的兩張圖片，Notice和Parse error。

        error_reporting則是決定要秀什麼到頁面上，全秀？還是把一些訊息先排除？

        display_errors：要不要秀？

        error_reporting：要秀什麼？

參考資料：

http://stackoverflow.com/questions/23436568/php-error-reporting-vs-display-errors

laravel 1071 Specified key was too long; max key length is 767 bytes 解決方法

        laravel new 一個新專案之後，在.env用好資料庫設定，接著執行php artisan migrate的時候，拋出了兩個例外：

  [Illuminate\Database\QueryException]                                                                                                                                                 

  SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 767 bytes (SQL: alter table `users` add unique `users_email_unique`(`email`))  

                                                                                                                 

  [PDOException]                                                                                                   

  SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 767 bytes  

        可以看到共通點就是Specified key was too long; max key length is 767 bytes。

        因為laravel5.4用的是utf8mb4編碼，這種編碼跟默認的uft8編碼差別就在於utf8編碼最多支援到3個字節，而utf8mb4可以支援到四個字節，所以utf8mb4可以支援四個字節的emojis儲存進資料庫，mb4指的就是「most bytes 4」，而utf8mb4同時也支援許多的漢語難字。

        但在5.7.7之前的Mysql版本，以及10.2.2之前的MariaDB版本必須要手動調整預設的字串長度讓MySQL可以為他們新增索引。

        實際做法是在AppServiceProvider.php裡面加兩行程式碼：

<?php
namespace App\Providers;

use Illuminate\Support\ServiceProvider;

// 1
use Illuminate\Support\Facades\Schema;

class AppServiceProvider extends ServiceProvider
{
    /**
     * Bootstrap any application services.
     *
     * @return void
     */
    public function boot()
    {
        // 2
        Schema::defaultStringLength(191);
    }

    /**     * Register any application services.
     *
     * @return void
     */
    public function register()
    {
        //    
    }
}

        引入Schema之後再去呼叫defaultStringLength去更改預設字串長度就行了。

參考資料：

https://github.com/laravel/docs/blob/5.4/migrations.md#index-lengths--mysql--mariadb

https://read01.com/yMQyN4.html