Сообщений в теме: 55

[Артём Еремеевский]

4Biz, например, самая большая дыра - работа с БД MySQL Нелогично, например, вытаскивать данные с помощью функции mysql_fetch_array(), если можно использовать mysql_fetch_assoc(). И это не нюансы. Это элементарщина. А уж о функциях printf() и mysql_real_escape_string() для защиты от SQL инъекций Евгений наверно до сих пор не слышал. А зря... И это не сложные материи. Это то, что нужно знать с самого начала обучения.

Нелогично и дырки - это все таки разные вещи. mysql_fetch_array() все го лишь вернет массив в два раза больше размером, однако современные сервера этого даже не заметят. C таким же успехом я могу сказать что и функцию mysql_fetch_assoc использовать нелогично, когда в PHP5 есть PDO. mysql_real_escape_string() на данный момент практически бесполезна, т.к. почти на всех серверах включено автоматическое экранирование, и использование в лоб mysql_real_escape_string приведет в итоге к расплодившимя "\\\\'". Инъекции как правило получаются совсем от другого, например когда численные значения подставляют в запрос, не проверив их:

DELETE FROM some_table WHERE id = $some_var

Тут mysql_real_esacpe() не поможет, так же как и print_f, потому что кавычки надо жестко прописывать вокруг $some_var, либо так же жестко приводить к типу int.

[Never Lex]

Нелогично и дырки - это все таки разные вещи. mysql_fetch_array() все го лишь вернет массив в два раза больше размером, однако современные сервера этого даже не заметят.

Я понимаю, что сделает mysql_fetch_array(). Просто незачем выковыривать массив в 2 раза больший, чем нужно. Современные сервера при наличии большого количества запросов очень даже заметят разницу. Это не дыра, как я и написал. Это просто глупость.

C таким же успехом я могу сказать что и функцию mysql_fetch_assoc использовать нелогично, когда в PHP5 есть PDO

PDO всё таки это другой уровень программирования, так как предполагает наличие понимания ООП. А мы говорим о том уровне, когда и сайт построить можно и вроде как от дырок защититься.

mysql_real_escape_string() на данный момент практически бесполезна

Я бы не сказал. Тем более, что курс выходил аж в далёком 2007 году (может и раньше, в копирайтах оффсайта так написано).

Инъекции как правило получаются совсем от другого, например когда численные значения подставляют в запрос, не проверив их

Согласен. Об этом тоже следовало бы рассказать новоиспечённым PHP программерам. Разве я не прав? Иначе получается дырка от бублика.

[Соловьев Николай]

Курс по PHP пожалуй зря Евгений сделал. Новичкам самим делать с нуля сайт на PHP - глупость. Для большинства задач по заработку денег и обычного HTML достаточно. Вот кстати огромное преимущество чистого HTML-хрен взломаешь! Ну во всяком случае очень постараться придется. И на любой хостинг можно залить, в т.ч. без поддержки PHP. Если уж нужно именно на движке, блог например, или новостной портал - так берите готовые! Joomla, Wordpress, DLE... Где обо всем позаботились профессионалы, и о защите в том числе. И то, хакеры находят лазейки.

[Never Lex]

Профессионалы конечно заботятся те ещё, но согласен. Незачем коммерсанту знания PHP. Или пользуй движки или HTML. А лучше нанимай специалиста, так надёжней будет намного.

[Артём Ющенко]

Курс по PHP пожалуй зря Евгений сделал. Новичкам самим делать с нуля сайт на PHP - глупость. Для большинства задач по заработку денег и обычного HTML достаточно. Вот кстати огромное преимущество чистого HTML-хрен взломаешь! Ну во всяком случае очень постараться придется. И на любой хостинг можно залить, в т.ч. без поддержки PHP. Если уж нужно именно на движке, блог например, или новостной портал - так берите готовые! Joomla, Wordpress, DLE... Где обо всем позаботились профессионалы, и о защите в том числе. И то, хакеры находят лазейки.

С вами не согласен. Конечно первоначально когда я года 2-3 назад, практиковался только на HTML, но этот язык разметки в чистом видео оооочень ограничен. С точки зрения разработки он очень не гибок.
Что касается CMS опять же, не гибкость и достаточно медленность. Пожалуй Wordpress из этого списка, исключение из правил. Опять же,заблуждение о том что CMS супер безопасны.
Когда открывал свой коммерческий проект, то сразу брал и коммерческий хостинг. ИМХО глупо зная что твой проект коммерческий, размещать его на бесплатном хосте.

Настоящий инфо бизнесмен, должен разбираться в коде хотя бы своего проекта. Чтобы гибко настроить его в сию же секунду. Время - деньги.

На счёт Жени Попова, я сам по его курсам учусь и скажу что он не зря свой хлеб ест. Целеустремлённый человек, хороший технический тренер.

[4Biz]

С вами не согласен. Конечно первоначально когда я года 2-3 назад, практиковался только на HTML, но этот язык разметки в чистом видео оооочень ограничен. С точки зрения разработки он очень не гибок.

тоже не согласен. Считаю, знания PHP новичкам определённо не помешают. Ориентироваться в нём будет им полезно..

[Never Lex]

Артём Ющенко, 4Biz, если новичку нужны знания PHP, то пусть они будут не знаниями о том, как понаделать дырявых скриптов. Я за качество, а без качества и смысла нет.

[Артём Ющенко]

Артём Ющенко, 4Biz, если новичку нужны знания PHP, то пусть они будут не знаниями о том, как понаделать дырявых скриптов. Я за качество, а без качества и смысла нет.

Разумеется, однако помоему любой здравомыслящий человек чувствуя недостаток своих знаний, не будет делать например свою CMS да ещё и продавать её на коммерческом уровне) Опять же мыслю со своей колокольни)

[4Biz]

Артём Ющенко, 4Biz, если новичку нужны знания PHP, то пусть они будут не знаниями о том, как понаделать дырявых скриптов. Я за качество, а без качества и смысла нет.

Ну а если ты ни с чего не начнёшь, то с чего начинать?) У кого из начинающих по началу не было ошибок..) с чего-то надо начинать, чтобы дальше совершенствоваться. Не может же чел с нуля сразу профессионалом стать и написать свой первый скрипт (и показать общественности) только тогда когда он будет крутым профессионалом) Так у него всякое желание уже перегорит.. поэтому без дырявых скриптов начинающих, боюсь, никак..(

[Артём Ющенко]

Ну а если ты ни с чего не начнёшь, то с чего начинать?) У кого из начинающих по началу не было ошибок..) с чего-то надо начинать, чтобы дальше совершенствоваться. Не может же чел с нуля сразу профессионалом стать и написать свой первый скрипт (и показать общественности) только тогда когда он будет крутым профессионалом) Так у него всякое желание уже перегорит.. поэтому без дырявых скриптов начинающих, боюсь, никак..(

Правильно, что уж говорить. Миллиардные компании порой сразу не могут исправить все баги своих продуктов. А тут про частных лиц говорят)

[Never Lex]

Артём Ющенко, совершенно не правильно мыслите. Видел далеко не один недосайт, сделанный по урокам. Ведь люди, думают, что эти сайты нормальные. А это банальный обман.

4Biz, если элементарные знания подаются в неправильном ракурсе, то я считаю такую науку бесполезной.

Вообще, реклама говорит, что вы (покупатель) сможете после обучения делать сайты на PHP + MySQL. Нигде не говорится, что они дырявы, корявы и нелогичны. Имхо, это введение в заблуждение. Если уж учить человека на примере делать что-то, то делать это нормально. Можно было озадачиться разработкой нормального примера и не вводить людей в заблуждение.

Сообщение отредактировал Never Lex: 06 Октябрь 2010 - 16:50

[Артём Еремеевский]

Я понимаю, что сделает mysql_fetch_array(). Просто незачем выковыривать массив в 2 раза больший, чем нужно. Современные сервера при наличии большого количества запросов очень даже заметят разницу. Это не дыра, как я и написал. Это просто глупость.

Это глупость конечно, но не страшная Поверьте сервер не заметит будет массив хоть 20, хоть 40 строк. Он их обрабатывает очень быстро. Даже в мануале по PHP сказано (в разделе где-то там про ссылочные переменные), что увеличение прироста скорости скрипта при использовании ссылки на массив, а не банальном его копировании в другую переменную можно почувствовать при количестве элементов больше 10.000 кажется. Здесь все тоже самое, а вряд ли какой-то запрос вернет больше 50-100 переменных. В PHP просто до версии 4.0.3 не было же mysql_fetch_assoc, а Евгений судя по всему язык изучал очень давно, вот и привык к mysql_fetch_array По своему опыту знаю, что гораздо большая проблема это грамотные запросы и построение структуры базы данных (вот это как правило и является основным тормозящим фактором).

Я бы не сказал. Тем более, что курс выходил аж в далёком 2007 году (может и раньше, в копирайтах оффсайта так написано).

Ну не бесплолезна конечно. Я и сам ее использую иногда, но не в чистом виде, а с проверкой автоэкранирования (ее собственно прямо в мануале так и предлагают использовать).

Согласен. Об этом тоже следовало бы рассказать новоиспечённым PHP программерам. Разве я не прав? Иначе получается дырка от бублика.

Следовало конечно (а там вообще про защиту от инъекций ни слова что ли???), но только сдается направленность курса другая. Научить быстро создавать сайты, хоть какие-нибудь. А чтобы качественно освоить PHP нужна практика, причем долгая, а вовсе не курсы (какой бы хороший он не был), любой курс будет лишь основой. Я вон сам осваивал этот язык без всяких книжек и курсов, только мануал + интернет. И первый сайт мой был о-о-чень дырявый )

Сообщение отредактировал madFobos: 06 Октябрь 2010 - 16:55

[Артём Ющенко]

Артём Ющенко, совершенно не правильно мыслите. Видел далеко не один недосайт, сделанный по урокам. Ведь люди, думают, что эти сайты нормальные. А это банальный обман.

4Biz, если элементарные знания подаются в неправильном ракурсе, то я считаю такую науку бесполезной.

Вообще, реклама говорит, что вы (покупатель) сможете после обучения делать сайты на PHP + MySQL. Нигде не говорится, что они дырявы, корявы и нелогичны. Имхо, это введение в заблуждение. Если уж учить человека на примере делать что-то, то делать это нормально. Можно было озадачиться разработкой нормального примера и не вводить людей в заблуждение.

Не логично. Обучение всегда проходит от простого к сложному. Нельзя сразу показывать сложные материи.
У меня один из сайтов сделанный по курсу Евгения, и я почему то совсем не считаю его недосайтом. Важнее что в коде.

[Never Lex]

madFobos,

Это глупость конечно, но не страшная

Вообще-то, она была приведена в роли примера. Это первое, что пришло в голову. Я не настаивал, что использование mysql_fetch_array() убьёт сервак. Я указал на явную нелогичность в повествовании. И да, вы правы, я думаю, что Евгений просто не знал о mysql_fetch_assoc(), потому как его знания были довольно скудными.

Ну не бесплолезна конечно. Я и сам ее использую иногда, но не в чистом виде, а с проверкой автоэкранирования (ее собственно прямо в мануале так и предлагают использовать).

Мы здесь говорим не о том Я тоже не в чистом виде использую. Мы сейчас говорим об отсутствии знаний у учителя, который "учит" других людей.

Следовало конечно (а там вообще про защиту от инъекций ни слова что ли???), но только сдается направленность курса другая. Научить быстро создавать сайты, хоть какие-нибудь. А чтобы качественно освоить PHP нужна практика, причем долгая, а вовсе не курсы (какой бы хороший он не был), любой курс будет лишь основой. Я вон сам осваивал этот язык без всяких книжек и курсов, только мануал + интернет. И первый сайт мой был о-о-чень дырявый )

Да, ни слова об инъекциях и о защите. Почитайте продажник и обещания. Что там говорится? Конечно нигде не говорится, что сайты будут супер-профессиональными. Но нет нигде и слова, что полученное путём обучения НИГДЕ НЕЛЬЗЯ использовать в силу его корявости. Потому и появилась куча недосайтов. Люди то думали, что их научили сайты делать нормальные. Не супер-функциональные, но вполне рабочие.

Артём Ющенко,

Не логично. Обучение всегда проходит от простого к сложному. Нельзя сразу показывать сложные материи.
У меня один из сайтов сделанный по курсу Евгения, и я почему то совсем не считаю его недосайтом. Важнее что в коде.

Про сложные материи вообще никто не говорил. Я говорил только об элементарных вещах. Я сам не гуру, чтобы лучи вселенского разума распространять
Если вы свой сайт делали полностью по учению Евгения, то убить его может любой школьник-недохакер. Наверно просто это никому не нужно.

Сообщение отредактировал Never Lex: 06 Октябрь 2010 - 17:06

[Артём Ющенко]

Про сложные материи вообще никто не говорил. Я говорил только об элементарных вещах. Я сам не гуру, чтобы лучи вселенского разума распространять
Если вы свой сайт делали полностью по учению Евгения, то убить его может любой школьник-недохакер. Наверно просто это никому не нужно.

Надо будет мы сами это хакера найдём и сничтожем). Фишка в том что код в том же CMS известен, код же самописного сайта нет.
В будущем поменяю часть кода, нет такой экономической необходимости, уже примерно 2 года. За последнее время написал модуль бана. Аналогично не гуру)

Сообщение отредактировал Артём Ющенко: 06 Октябрь 2010 - 17:13

[Never Lex]

Надо будет мы сами это хакера найдём и сничтожем). Фишка в том что код в том же CMS известен, код же самописного сайта нет.
В будущем поменяю часть кода, нет такой экономической необходимости, уже примерно 2 года. За последнее время написал модуль бана. Аналогично не гуру)

Ок. Договорились. Нет необходимости - пусть висит ваш сайт дырявым. Кто спорит
На счёт известности кода, согласен. Потому я и люблю самописные сайты. Однако недосайт можно убить и без знания кода. Было бы желание.

[Артём Ющенко]

Ок. Договорились. Нет необходимости - пусть висит ваш сайт дырявым. Кто спорит
На счёт известности кода, согласен. Потому я и люблю самописные сайты. Однако недосайт можно убить и без знания кода. Было бы желание.

Ну за два года бы уж точно кто то бы попытался) Основные убивание это знание пароля от FTP)

[Never Lex]

Артём Ющенко, не обязательно Если сайт не особо интересен, то его никто и ломать не будет. Или тематика не конкурентная или ещё что. Уверен, что если бы захотели, то сломали бы. Но хватит об этом

[Артём Ющенко]

Артём Ющенко, не обязательно Если сайт не особо интересен, то его никто и ломать не будет. Или тематика не конкурентная или ещё что. Уверен, что если бы захотели, то сломали бы. Но хватит об этом

Ок, а то можно до скончания веков беседовать)) У меня компьютерная рассылка (компьютерная грамотность). В месяц от 500 до 1000 заходят и мне этого хватает + на блог столько же.
Так что не считаю свои проекты такими уж непопулярными.

[4Biz]

4Biz, если элементарные знания подаются в неправильном ракурсе, то я считаю такую науку бесполезной.

Аа, ну тут я спорить не буду, покуда его курсов я не видел, думал кривого, в принципе, ничего не возможно.. теория есть теория, как уже её там будут использовать, комбинируя эти частицы знаний..