Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
3. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +6 +/– | |
Сообщение от Tav (ok), 17-Фев-10, 23:39 | ||
Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься). | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 00:51 | ||
хорошо сказано :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от vbv (ok), 18-Фев-10, 02:49 | ||
А Oracle не хочет приобрести php??? | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Deffic (?), 18-Фев-10, 02:48 | ||
"..которая связанна с использованием непоследовательного и непродуманного языка PHP.." | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
12. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от polymorphm1 (ok), 18-Фев-10, 03:40 | ||
самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение (и выполнение) php-файлов в тойже самой директории что и статические media-файлы.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok), 18-Фев-10, 10:42 | ||
Проблема не в SQL. Все нормальные API для работы с SQL работают так: запрос с параметрами (например "SELECT * FROM table WHERE id = ?") сначала компилируется, а значения параметров подставляются уже при выполнении запроса. Такой подход избавляет от необходимости каждый раз выполнять разбор SQL и делает инъекции невозможными. | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
26. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 11:50 | ||
эта норма пришла скорее от mysql, потому что там изначально небыло компиляции запросов, и любая прослойка позволявшая пользоваться переменными по сути ничего кроме конкатенации не делала. А ещё php во все времена имел очень низенькую планочку для IQ разработчика, поэтому им пользуются столько людей которые даже слова "фреймворк" не знают. В принципе, как windows - своей убогостью создал себе огромный рынок. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 12:19 | ||
>Проблема не в SQL. Все нормальные API для работы с SQL работают | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
38. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok), 18-Фев-10, 14:22 | ||
>А если логика запроса посложнее и состоит из 100 вложений ("инъекций") | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 13:25 | ||
>Проблема не в SQL. Все нормальные API для работы с SQL работают | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
39. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok), 18-Фев-10, 14:27 | ||
> Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запроса, но это не так, ибо тогда нарушается его план, "select * from ? where..." а такое относительно часто бывает нужно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 14:50 | ||
> Имя таблицы — это данные пришедшие из вне? Если такое часто нужно, у вас какие-то принципиальные проблемы с моделью данных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Tav (ok), 18-Фев-10, 15:34 | ||
> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 16:03 | ||
> Речь о том, что использование запросов с параметрами — норма, а манипуляции со строками — для исключительных случаев | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 18:25 | ||
>> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
73. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от AlexAT (ok), 12-Май-10, 13:47 | ||
>> есть необходимость динамического построения сложных аналитических запросов по всей базе, в зависимости от текущих желаний пользователя, построитель у него есть. | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
42. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 14:57 | ||
>Проблема безопасности заключается в первую очередь не в языках или технологиях, а | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
44. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 15:40 | ||
И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполнять, тыщу раз такое видел и сам делал, говорю вам не в инструменте дело, точнее не в первую очередь в инструменте. Качественный продукт к сожалению таки требует дополнительных трудозатрат. А вот про культуру вы хорошо заметили, все прекрасно, но это только в идеальном сферическом мире, а на практике все под елочку ходят когда приспичит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 17:29 | ||
я не о том что на перле это невозможно, я о том что там в отличии от php при работе с базой наиболее лёгкий и удобный способ одновременно является и более безопасным, и при этом приучает делать более качественный код. Может быть в этом главная слабость php - он реализует очень много функциональности на уровне языка вместо того чтобы стимулировать развитие более качественных фреймворков, а все эти стандартные расширения практически монополизируют свою функцию, какому-то конкурирующему решению очень сложно пробиться. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 18:35 | ||
а я вам про то что я например, при освоении DBI был весьма озадачен таким подходом, особенно когда узнал что mysql не поддерживал хранимых запросов, и в результате чтобы не выписывать каждый раз такие кренделя написал функцию execute_query() в которую передавал динамически собираемую строку запроса. Даже если бы mysql поддерживал то всеравно бы написал, ибо в результате проще, кода меньше, на тот момент я был таков, писал кода в день в три раза больше чем сейчас и просил за это крохи, а теперь что, пока доку три раза прочтешь, пока подумаешь, спланируешь, ошибки обработаешь и т.п. пацан молодой какой нить уже 10 раз все сделает за в три раза меньшие деньги, вот и подумайте кого выберет современный массовый работодатель производитель всякого ширпотреба ? Незнаю, возможно я и не прав, можете убеждать меня дальше, но считаю что инструменты тут дело далеко десятое. | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 17:39 | ||
а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых местах водятся очень даже культурные клиенты которые готовы доплатить небольшой бонус за качество чтобы потом не потерять бóльшие деньги | ||
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору |
50. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 18:04 | ||
это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду или офис, куча красочных перделок, мало кому нужных и зачастую даже бесплатных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 02:51 | ||
"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
10. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Ян Злобин (?), 18-Фев-10, 03:34 | ||
>"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –2 +/– | |
Сообщение от Deffic (?), 18-Фев-10, 03:50 | ||
>>"..смешивание html-кода и программной логики.." | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +3 +/– | |
Сообщение от polymorphm1 (ok), 18-Фев-10, 04:06 | ||
> Неправильно - смешивание данных и кода. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –1 +/– | |
Сообщение от Deffic (?), 18-Фев-10, 04:35 | ||
>> Неправильно - смешивание данных и кода. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от Аноним (-), 18-Фев-10, 09:30 | ||
> \t \n и др. это не код, а просто невидимые символы | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 11:25 | ||
>> \t \n и др. это не код, а просто невидимые символы | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok), 18-Фев-10, 10:26 | ||
>IMHO это не нужно рассматривать как правило. | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
32. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | –2 +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 12:42 | ||
Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек, плюсы конечно есть, но это не общеупотребимо, а вот сложность при этом увеличивается, само понятие шаблона, их язык, производительность опять таки. А чем сложнее система тем больше в ней уязвимостей ;) Нет, я не хочу сказать что рассматриваемый подход зло, всему свое место, зачастую простейший вариант с формированием ответа в одном скрипте оптимален, как уже сказали выше все зависит от задачи. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Tav (ok), 18-Фев-10, 11:00 | ||
Это противоречит архитектурному шаблону Model–View–Controller, затрудняет модификацию кода и контроль его корректности. | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
27. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 12:03 | ||
а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах? | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 12:23 | ||
>а сколько господ даже здесь рассуждают о языке без намёка на MVC | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от thirteensmay (?), 18-Фев-10, 12:51 | ||
НеMVC тоже ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 12:57 | ||
>НеMVC тоже ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Cobold (??), 18-Фев-10, 14:29 | ||
> MVC никто не отменял. | ||
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору |
74. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от AlexAT (ok), 12-Май-10, 13:50 | ||
>> MVC никто не отменял. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +1 +/– | |
Сообщение от polymorphm1 (ok), 18-Фев-10, 03:57 | ||
> Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP ... | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
21. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от XoRe (ok), 18-Фев-10, 10:34 | ||
>[оверквотинг удален] | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от Deffic (?), 18-Фев-10, 11:47 | ||
>[оверквотинг удален] | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" | +/– | |
Сообщение от polymorphm1 (ok), 20-Фев-10, 03:20 | ||
> | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |