@xiaoz 把那个配置文件的 group 改成运行 php 的 group, 权限改成 0664 。然后另外用 inotify 监视文件，重启服务就好了。不需要给 php 用户 sudo 权限。

@xiaoz 转义，把 | 换成 \|, $ 换成 \$ 等。我记得 php 里面自带了转义函数，但具体效果怎么样不清楚

另外看到你上面说用 root 执行外部程序，最好不要这样做，很危险。除非你的 php 程序就是用来修改系统配置的（如路由器的 web 配置界面）

不同 command 多次处理一个文件为什么需要 copy
难道不是
command_a ${INPUT} > ${OUTPUT}-a
command_b ${INPUT} > ${OUTPUT}-b
command_c ${INPUT} > ${OUTPUT}-c
吗？

proxy.inc 是什么内容？

主要是要防止
I. 任意命令执行
II. 利用被执行的程序进行攻击

任意命令执行也可以分两种情况
1. 直接从外界接受命令名，这是一定要避免的
2. shell 语言注入。理想情况下，如果能直接用 execve 搞定的事情，就不要调用 shell, 这样就不会有注入问题。我写 python 的时候也是这样做的。可 php 这智障没有 execve 接口，只能调用 shell. 一定要调用就做好 escape 啦。

第 II 点就是说，你调用的外部程序可能设计和编写的时候没考虑那么多安全问题。尤其是 DOS 攻击，面向本地用户的程序是不会考虑这个问题的。

自定义 header 肯定能防 csrf, 但是，但那毕竟要用 ajax 才能实现，如果不用 javascript, 就只能用 csrf token 了。

卡是 ssd 换成了 hdd 的原因吧，和内存没关系

openvpn 的安全性是很好的，能是实现保密和消息认证，无法通过监听来发现你访问的是什么网站。
但你要保证

1. 你的主机是干净的，没有被安装后门程序
2. 在客户端和服务器之间传递 ca 证书和客户端证书申请的过程是可靠的，没有被篡改。

这个不是算出来的，而是做压力测试测出来的
简单的应用还能估计，应用越复杂，瓶颈越可能出现在你想不到的地方

感觉类似分配寄存器的问题？

上 iPhone 吧

你用过 github 吗？

去互联网公司吧

redis 就可以做分布式的信号量

感觉以后这些重复性的工作都可以直接交给 systemd, 再也没有必要自己搞守护进程了

你这里 %edx 是个变量啊，就是在循环里面做右移，当结果不为 0 时， ZF 为 1, 执行 jne .L0, 循环
直到 %edx 为 0 的时候， ZF 为 0, jne .L0 不执行，退出循环

void f(uint32_t val) {
uint32_t sum = 0;
while (val != 0) {
sum ^= val;
val >>= 1;
}
sum &= 1;
}

这个很复杂吗？标志寄存器表示的是上一条指令的结果的属性，所有算术指令都会修改标志寄存器

并发的单位为什么是 s^-1, 这个单位是吞吐量吧
这个锅确实得执行模式背