| 1.3, Аноним (-), 23:29, 22/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозгами программистов.
| | |
| |
| 2.8, Аноним (-), 02:31, 23/10/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ruby,python и java с go. А неосиляторы пусть удосужатся хотя бы вменяемые аргументы привести против этого языка. Все что я слышу против php полный бред.
| | |
| |
| 3.9, angra (ok), 06:42, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложений до сих пор не умеет нормальный fastcgi, только обертку над обычным cgi исполнением.
| | |
|
| 2.17, Michael Shigorin (ok), 11:33, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Конешно, он же написан на PHP
Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюдается (хотя дырки тоже бывают, увы и ах).
Люди, которые думают, что инструмент заменяет эти самые мозги -- ну, понимаете, да? -- при этом из инструментов и впрямь стоит выбирать дающие более качественный результат, если уж делать.
| | |
| |
| 3.19, Аноним (-), 13:26, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Тут важна совсем другая штука, а именно: чтобы предотвратить появление комментов вида "А ето ошибки там, потому что это язык такой плохой", достаточно заблаговременно поместить саркастичный коммент из той же самой сферы, но утрирующей эту идею до уровня очевидной нелепости (когда язык сам пользуется мозгоресурсами).
Очевидно, что исключение из разработки фактора программиста - полнейшая глупость, но тема эта, тем не менее, поднимается с заданным постоянством, достаточно лишь в каком-либо продукте, написанном на PHP, найти уязвимость.
(хотя, про предотвращение могу и ошибаться, так как такие комменты могли быть просто отмодерированы).
| | |
|
|
| |
| |
| |
| 4.15, Аноним (-), 10:34, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Golang, Erlang, Rust, Python, C++14, Java.
Хм. Что-то раньше не слыхал о таких CMS.
| | |
|
| 3.18, Michael Shigorin (ok), 11:34, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать его бермуторно...
| | |
| |
| 4.23, Typhoon (ok), 23:05, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 >> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать
> его бермуторно...
А почему не жанга?
| | |
| 4.24, Typhoon (ok), 23:07, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать
> его бермуторно...
Да и вообще нужно переходить на статические сайты
| | |
|
|
|
| |
| 2.20, Дворник (??), 16:45, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> т.е. как обычно - возможность SQL-инъекции ...
И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?
| | |
| |
| 3.21, тоже Аноним (ok), 17:08, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Пользователю вообще доступ к БД незачем.
А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
| | |
| |
| 4.28, Дворник (??), 22:04, 25/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Пользователю вообще доступ к БД незачем.
Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.
> А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
Неплохо.. Ну, это субъективно.
Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.
Повторюсь - зачем скриптам иметь полный доступ к БД?
| | |
|
| |
| 4.29, Дворник (??), 22:14, 25/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Для начала просто делать prepare + биндинг параметров, везде
Это просто факт, не требующий обсуждения.
Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
Вот это-то мне и не ясно.
| | |
|
|
|
| 1.25, Typhoon (ok), 23:10, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
| | |
| |
| 2.27, Georges (ok), 00:50, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Обновляя и повышая безопасность и ускоряя джумлы.
Ещё можно бэкапы настроить.
| | |
|
|
