※ 引述《zxa426153 (点点点)》之铭言：
: 可以发文、点赞、留言之类的
: 目前完成比较有挑战性的功能有“聊天”及“hashtag”
: https://i.imgur.com/uBrLLqg.gifv
: https://i.imgur.com/aVVOxFC.gifv
: 作品连结：https://whynotwilson.github.io/simple-twitter-vue/
如果是我在面试的时候看到大概会像这样：
“名字是 Why not...why 先生你好，我是（略）
然后请你自我介绍一下，接着我们会从你的介绍跟作品开始问”
（一边听介绍一边偷点作品）
靠，这接口看起来漂漂亮亮的跟 appworks 出来的一样
是现成套件还是自己做的？
（翻 commit）诶好像是手刻的耶，等下问一下
（乱填资料）前端 <script> 可以 inject 进 DOM 但不会动？
后端一下没戳穿，前端手刻后端有用 ORM 或 prepared
statement 挡到煞吗？
诶怎么没有后端 code...
啊后端在另一个 repo ，啊他自我介绍完了来不及看
“想先问一下，你这个前后端是自己手刻的吗”
“你怎么自学的？都看哪些东西？”
（探学习的状况跟自学能力，到问不下去或是觉得同一个话题太久）
“你刚刚提到聊天跟 hashtag 是比较有挑战性的功能，请问你觉得
这两个功能（或是先只问聊天）的困难点在哪里？”
“你的范例是三个人聊天，如果人越来越多，多到系统开始出问题
你觉得最可能先出问题的地方在哪里？你觉得可以怎么解决？”
“如果是首页河道很多人看，你觉得哪里会先爆？怎么应对？”
（开始见招拆招，看回应再丢问题，扯到架构就递白板笔开始画图
可能从 sql 问到架构，甚至 cdn ，或任何跟网络服务有关的东西
也可能进设计题，出某个东西让你想该怎么实作）
（问差不多或话题干了）
“想问一下，如果我输入 <script>console.log("evil")</script>
会发生什么事？为什么这段 script 会/不会被执行？可能怎么防御？”
“如果我输入‘'or1=1

我觉得面试官这样问可以 但是自己也要讲的出来怎么解还有系统哪里会出问题不是用猜的或感觉的 是需要跑测试看数据 才知道

基本概念是不要用文字操作组合出 html / sql

prepared statement 有数量限制吗

例如透过 dom api 而不是 document.write（只会香草 jssql 就是用 prepared statement，ORM 也行

现在考这个 大部分框架都搞定了 就算抓到了这个 bug 我觉得不是大问题 能写出来东西的执行力更重要考官自己有作品吗 我每次都很怀疑

应征者如果从 profiling 开始会是大加分，若是没想法也

那你的问题还用误导的方式问

那你这样的问法会出什么问题呢

感谢分享

推

推

这篇很用心 推

感谢分享 面试真的就这样 要对自己作品很了解

推，很值的学

我觉得问题蛮好呀 可以有发挥的空间

推

推

问得很好啊

由浅问到深 这作品的确满好问的比一些纯静态demo的作品好发挥

这样问后端算是好背答案的了，所以 CDN 实作要注意啥？

推推

推

推 获益良多

考管有没有作品，与验证双方能力无关。考官有没有作品也与你能不能拿到 offer无关。同样的面试者也可以不拿任何作品证明自己能力。也没什么，问对问题就好。原文什么资讯都没有，之露出一个作品，当然大家就只能寻这条线互相了解了。

推这篇，其实你就是面试官吧XD

感谢分享

新进者，sql injection 方面的东西，最好预先了解一下，这个世界除了程式设计师，还有骇客