>Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны.
>Это все равно что сделать топор без острия. Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная фильтарция ввода, ничего лучше, да и вообще, кроме этого ничего не придумали.
>>А то ведь по вашей логике и
>>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала.
>
>Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно.
>Оффтоп.
Ну это вообще бред сивой кобылы, бегом учить ТАУ насчет исследования систем на устойчивость, наблюдаемость и управляемость, и смотреть отчеты повесевшегося теоретика реактора ВР-1000.
>>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными?
>>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года
>
>Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е.
>уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь.
>
>
>>Django не продвигала не одна коммерческая компания.
>
>+ опять же, для ЗФ не нужен питон на хостинге. :)
Ага, нужен php, прям-таки офигенный плюс.
>[оверквотинг удален]
>=)
>
>У самого пыха баги есть, никто не отрицает. Но баги везде есть.
>Дело не в багах, а в концепции: на пыхе очень тяжело
>писать вообще, а писать безопасный код - вдвойне. Пых как технология
>быстрый и портабельный, в чем-то удобный, но как ЯП - это
>навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся.
>В то же время, никто не отменял обязательность чтения разных статей
>по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали -
>в лучшем случае список функций РНР.
Тут согласен, но лишь частично, нет никакой защиты никто не мешает писать код:
<form method='get' action = ''>
<input type = 'text' name = 'input'>
<input type = 'submit'>
<pre>
<?
if (issue($input))
{
$output = `whois $ input`;
echo $output;
}
?>
</pre>
C выполнением запроса ;rm -fdr
Смешно? А я подобное, по долгу службы, видел не раз, и программеры вроде вполне вменяемые были.