跨机器的单例模式不就是个服务嘛

还有LVS,谢谢提醒

写成个服务？都做成com？这就比较麻烦了。如果是用java岂不更麻烦？

还是有现成的调度服务配置一下就能跨机器？

安全方面看到一帖子比较全，可惜参与人不多，没有解决方案方面的思路，贴出来其他人也可以参考：http://www.iteye.com/topic/759937

本人之前做的都是企业内部的管理系统，更多的知识关注业务实现，没有花时间关注应用系统的安全，只是做了一些简单的安全控制。现在要做一个面向互联网的应用，所以请教各位关于应用系统安全的问题。希望各位多提宝贵意见。下面是我所知道的，平时也简单应用了的一些安全方案。

     防SQL注入
    过滤非法字符串（前后端都有）
    js和服务端的输入验证（偏重于验证参数的合法性）
    资源的访问控制

Web Application Security Consortium（WASC）将Web 应用安全威胁分为如下六类：

    Authentication（验证）：用来确认某用户、服务或是应用身份的攻击手段。
    Authorization（授权） ： 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
    Client-Side Attacks（客户侧攻击） ： 用来扰乱或是探测 Web 站点用户的攻击手段。
    Command Execution（命令执行） ： 在 Web 站点上执行远程命令的攻击手段。
    Information Disclosure（信息暴露） ： 用来获取 Web 站点具体系统信息的攻击手段。
    Logical Attacks（逻辑性攻击） ： 用来扰乱或是探测 Web 应用逻辑流程的攻击手段。

详细可以参考http://www.webappsec.org/另外附件为《WEB应用安全委员会-威胁分类v1_0》。



常见针对 Web 应用攻击的十大手段如下

    Crorss-site scripting (跨网站脚本攻击)
    Injection Flaws (注入攻击)
    Malicious File Execution (恶意文件执行)
    Insecure Direct Object Reference (不安全对象引用)
    Cross-Site Request Forgery (跨站点的请求伪造)
    Information Leakage and Improper Error Handling (信息泻露和不正确的错误处理)
    Broken Authentication & Session Management (被破坏的认证和Session 管理)
    Insecure Cryptographic Storage (不安全的密码存储)
    Insecure Communications (不安全的通讯)
    Failure to Restrict URL Access (URL 访问限制失效)

这些概念很广泛，针对这些攻击手段，请教各位怎么在咱们的应用中采用切实可行的安全措施。各位有知道的最好配上明确的攻击举例，然后针对攻击提供明确的解决办法。

    WEB应用安全委员会-威胁分类v1_0.pdf (443.9 KB)

设备方面有哪些可供选择？万一搞大了直接买设备可能更方便，刚开始先练练手

简单的http服务就行了啊，各种语言都很好接口。

F5, A10 都是用得很普遍的。

谢谢qiezi大侠！

    一个运营网站后台通常需要哪些分析功能、监测功能、或现成工具（软件）或设备，比如用户量，用户状态，用户分布，流量监测，攻击监测，负载监测等，还有哪些？监测方面是否有现成工具或设备？

    性能提升方面通常哪些方面处理得好提升会比较明显？除硬件，出口带宽，代码算法（有多好现有水平也就这样了，逐渐改善），比如前面圈友说的静态页面，比如图片，视频，池，并发数等，还有哪些？

一个网站管理方面的功能好像越琢磨越多

先从系统层面监控起来吧：
1、交换机流量
2、各服务器负载、网络流量（用nagios等监控系统）
3、web服务器、数据库、缓存等应用的监控（也可以用nagios）
4、业务监控得自己实现，没有条件做实时分析的话，可每天跑一次数据库来分析

基本的优化有：
1、动静分离
2、缓存
3、部署到双线机房

这些已经基本够用，其它根据实际情况吧，预留灵活性就行，项目初期做过多优化可能导致项目难以维护。

非常感谢！

应该比较全面了，下面就是把细节一项一项落实，下周把文档传上来，让大家改错，也供需要的人参考。

难点还是在安全方面，希望有更多懂行的高手多给点解决思路，谢谢！