最近的攻击让我想到的一些事情

或许这些你都已经经历过了，那么你就把下面的列表当作是小朋友的学习心得吧。

1. 下一个项目，能不用 MySQL 就尽量不用，尤其不要用任何的 ORM。虽然方便，但是性能损耗太大了。

2. 所有页面的生成时间，目标应该是 10ms 以下。如果缓存设计得足够好的话，5ms 以下。目前我们的很多页面的生成时间接近甚至超过 100ms，这样的话，网站太脆弱了，会需要加入太多其他的应用层的防御措施。

3. Tornado 是一个经得住考验的框架。本身性能非常好。

4. 如果在 supervisor 中同时启动太多 Tornado process，那么在每次代码更改的时候，新代码的部署过程可能会造成短暂的 CPU 压力。

5. 根据频次计算的防攻击规则，可能会和 CDN 及某些终端加速机制（比如 Opera Mini 的代理）不兼容，除非你能够把这些根据频次计算的防攻击规则，也部署到 CDN 的边缘节点上，并且有足够灵活的 UI 和部署机制让你能够试验不同的规则。

6. 所有的防攻击规则都会造成误伤，并且可能会影响搜索引擎的收录，因为各种 bot 很容易中枪。

如果你最近的访问因为我们的某些防攻击规则受到影响，请给我邮件 livid at v2ex.com 并附上你的 IP（前三段即可）。

大力感谢 @ptcracker 在最近这段时间给予的帮助。