—— 仅以此文记录我记忆中的2007

一、学习
    a.看过或正在看的书：《Javascript高级程序设计》、《Don't Make Me Think》、《Effective C#中文版》、《数据结构》、《数据挖掘-实用机器学习技术》、《SUSE Linux 10宝典》、《音频信息处理技术》、《你在为谁工作》、《哈利·波特与死亡圣器》 
    b.尝试在Linux MONO环境下开发了.Net程序（IDE频繁挂掉，不得不放弃）

二、工作
    从程序员到项目经理。（多谢老板的器重）
    第一次接触到手机网站（比想象的简单很多）
    在公司一年年半了，熟悉了公司的环境，正在向“老油条”过度。

三、生活
    a.从坐车上班到骑车上班
    b.从3个人的房间，办到了一个人的房间（回到了2006年上半年的状态）。
    c.又老了一岁，仍然没有GF（可悲~ ）

四 、理财
    a.2007年我的工资共上涨了 60%。
    b.拥有了第一张金卡、第二张信用卡。
    c.将储蓄变成了基金（10月后资产缩水）

五、遗憾
    a.仍然没有学好英语。
    b.格言“努力·赞美·忍耐”很多时候没有遵守（独创格言，如有雷同纯属巧合）。

    回首一年，值得欣慰的是自己还有一定的学习动力，其次是工资提高生活质量有所提高（其实是花钱更大手大脚了）。工作中有开心也有郁闷，感谢老板的器重，做一些管理工作对自己是很大提高，当然也更累了，时间总过得很快。基金从30%的收益到-10%让我知道了“投资有风险”的不变格言。我尝试把自己做程序员时的一些想法变成项目管理的方法，一些被证明是错误的，自己管理知识的匮乏，也只能做个50分的项目经理。每每工作不开心的时候，翻开《你在为谁工作》看两章能够舒缓心情。

    展望2008，英语、数据挖掘、项目管理 是学习的方向与重点。“努力·赞美·忍耐”是人生态度。不在看重薪水，业余时间放在自己的项目上。试水股市。

作为一个G迷，看到发生Google输入法门事件，非常痛心。
在自己的环境中无处不在的盗版让我早已习惯，大到操作系统、数据库，小到用户控件、编辑器(EditPlus)。
对于谷歌两名中国程序员来说用盗版词库或者说破解词库应该是件很COOL的事情。高学历弥补了自身的版权意识淡薄蒙蔽了李博士的“慧眼”。
作为.NET开发者你用了多少盗版？
以下是我用的：
Windows2003、Sql Server2000/2005、Visual Studio 2003/2005、ComponentArt WebUI、CodeSmith、VisualSVN、Flex、Office、Dreamweaver、PhotoShop、VMware、HttpWatch、EditPlus、FlashFXP、金山词霸、WinRar

危害：可构造特殊SQL语句注入动网论坛
测试环境：Dvbbs 7.1.0 Sql版 Sp1 20051114 （到目前2007年3月15日为止最新版本）
实施条件：有论坛后台管理论坛基本信息的权限。（怎么获得？自己想吧）
write by :flower.b
漏洞原因：动网论坛中有很多自动发送PM的地方，很多地方都没有做参数的过滤就直接构造了SQL语句，如：

上面代码中的 sender,title,body 虽然不是用户输入的内容，但配置文件中的字符串就一定没有问题不用过滤？
此时只要有后台的管理权限，修改下论坛的标题或注册注册消息的模板....嘿嘿。

同样的问题，还出现在 savepost.asp 中的用户订阅短消息更新提示部分：

解决办法：对这些变量增加 Dvbbs.CheckStr() 过滤后再构造SQL。

后记：动网论坛的注入漏洞层出不穷，与日月同辉。自从SQL注入这门编程“新科学”，被小猪之流在中国发扬光大，动网论坛是所有系统中被爆SQL注入最多、最严重、波及范围最广的ASP网站程序。动网论坛最烂？不是，动网论坛做为结构话编程来说论坛已经太大了！向上面两个地方在使用ADO.NET中的参数方法完全可以避免，但是动网论坛的这种方式，仅依靠程序员个人能力，小心、小心＋小心，根本注意不过来这么大的系统，也就不可避免的出现各种各样的注入漏洞。动网论坛做为国内ASP编程的领军人，应该把ASP向面向对象方向发展了！而不是去做什么并不占优势的PHP版！（沙滩的市场是怎么考虑的？）

听书网 差异化、人性化取胜

中国首个，出现在线完全免费收听有声图书。

中国首个，为有声图书提供同步字幕功能。

中国首个，实际应用在线语音评论功能。

待续...