LINUX.ORG.RU

Безопасность PHP изнутри


0

0

Читайте интервью со специалистом по безопасности PHP - Stefan Esser'ом, который недавно покинул команду разработчиков и известен, прежде всего, своим проектом Hardened PHP. Из интервью вы узнаете, что на данный момент накоплена база из 31 серьёзных ошибок, что PHP лучше не запускать в виде модуля апача, что, не смотря на все ухищрения, сам язык PHP крайне небезопасен.

Тем временем, вышел PHP 5.2.1, в котором исправлена большое количество ошибок (более 180), а также произведены некоторые оптимизации: http://www.php.net/releases/5_2_1.php

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от NickD

>Кто-нибудь знает нормальный хостинг с Питоном?

Их типа много.

r ★★★★★
()
Ответ на: комментарий от proforg

>но из за необходимости сохранения переносимости не так быстро как хотелось бы

необходимость сохранения переносимости ошибок?:)

r ★★★★★
()
Ответ на: комментарий от atrus

>Из контекста выдёргиваем? "Слив защитан". (С)

anonymous не может слить по-определению.

r ★★★★★
()
Ответ на: комментарий от pento

>Имхо, процентов 80-85% критики в адрес PHP - пустой трёп (от незнания языка)

5ты раз спрашиваю - хоть одно преймущество _языка_ PHP перед javascript назовите?

r ★★★★★
()
Ответ на: комментарий от anonymous

>Хотя бы книги пишут...

Про ети книги не надо. Те кто их пишет (особенно PP) зарабатывают этим деньги. Это не графоманство профессионала в свободное от работы время, это книги профессиональных писателей книг т.н. "консультантов".

r ★★★★★
()
Ответ на: комментарий от anonymous

> Перевожу довольно сложный проект написанный моим предшедственником с Python/Django на PHP. Чего посоветуете?

Стену!

r ★★★★★
()
Ответ на: комментарий от anonymous

>Основной аргумент - отсутсвие русской документации по Perl/Python

В книжный магазин пусть сходит.

r ★★★★★
()
Ответ на: комментарий от anonymous

Понимаете, уважаемый, в реальной жизни не все измеряется синтаксисом "езыга". Поставьте себя на место тимлида - работать надо сейчас, коллектить баги, фичи и т.п. Jira хороший багтрекер, на собственном опыте могу сказать, но для работы 10-20 чел. под нее нужно отдельное железо. И стоит она нехилых денег. Вот и начинает народ выбирать из того, что уже напедалили на пыхпыхе. А почему нужен пяток? Да просто нужен обычно тот вариант, который проще приспособить под свои нужды (а у всех они разные) с минимальной затратой времени на доводку.

Образно говоря, все знают шо 600й Мерс классная машина, а Жигуль - гроб на колесах. Но почему тогда пол-страны катается на этих развалюхах? ;)

Linfan ★★★★★
()
Ответ на: комментарий от anonymous

>на java, которая, по вашим представлвниям, пожирает память, работают устройства, которые обладают объемом памяти, сравнимым с тем, что имели компьютеры тех времен.

жжошь ацкий сотона :)) И куда умудрились запердолить j2re1.4 (хотя бы). Теоретизировать относительно жабы в телефоне давайте не будем. Или вы можете засетапить туда Jira или Confluence? Если так, то ваще... :)))

Linfan ★★★★★
()
Ответ на: комментарий от Linfan

Это которому уважаемому вы отвечаете?
И про тимлида можете не рассказывать, я в курсе. Первое время можно прекрасно жить без всяких багтрекеров. А теперь назовите мне "напедаленное на пых-пыхе", которое позволяет обслуживать весь цикл создания и сопровождения ПО? Bug tracker - это толька малая часть этого цикла.

p.s. Года полтора назад единственное, что оказалось более-менее интересным и "готовым", это ProjectView от небезызвестной sam-solutions.net (не то тухлое, что валялось на sf.net, а взятое у них из cvs и перепиленное; bug tracker там внутри - кусок mantis-а, да).

Hiddenman
()
Ответ на: комментарий от r

>Про ети книги не надо. Те кто их пишет (особенно PP) зарабатывают этим деньги. Это не графоманство профессионала в свободное от работы время, это книги профессиональных писателей книг т.н. "консультантов".

Так я и прошу подобных книг про Java ориентированных на рубистов! Просто хочу изучить Java, максимально используя знания Ruby

anonymous
()
Ответ на: комментарий от Hiddenman

>Первое время можно прекрасно жить без всяких багтрекеров

угу, а потом рвать волосы на ... Я все это писал не к тому, что "пыхпых - это суперкузяво" а просто есть масса случаев, когда можно заюзать готовые аппликухи для снижения себестоимости разработки.

Относительно "весь цикл создания и сопровождения ПО" расшифруйте че вам не хватает по жизни? Очень часто это сайт с обр.связью, багтрекер, работающий с почтой и вики. Все эти элементы можно надыбать пыхпыховские.

Linfan ★★★★★
()
Ответ на: комментарий от Linfan

>В плане языкомерки или как? Если с точки зрения веба - где хостинг на JS дают? ;)

Основная мысль такая - в пыхе нету ничего интересного с точки зрения языка, и вследствии этого непонятно на кой хрен они извращаются именно с языком (коль скоро не внесли ничего интересного за столько лет) вместо фреймворка. Ведь можно же взять тот же самый javascript как язык зафигачить его на ServerSide и обернуть удобным фреймворком - будет и то намного лучше.

r ★★★★★
()
Ответ на: комментарий от anonymous

>Так я и прошу подобных книг про Java ориентированных на рубистов! Просто хочу изучить Java, максимально используя знания Ruby

Опоздал во времени:) Эти пейсатели сначала написали все книги про жава, а потом когда руби стал известен - написали про руби (некоторые про питон). Сейчас книги про жава не продашь их и так вагон, причем написаных ими же. Можешь следить за линией - через 3 года книги про питон и руби уже тоже никому не продашь - интересно на что дальше будут переходить "жава,шарп,руби,питон" программисты?;)

r ★★★★★
()
Ответ на: комментарий от Linfan

Первое время просто баги не на что вешать :)
Ну а фраза из мультика "Лучше день потерять, потом за 5 минуть долететь" никогда не потеряет своей актуальности :) Можно только догадываться, сколько проектов заработали геморрой на определённой стадии развития из-за того, что изначально был выбран стратегически неверный вспомогательный продукт, на уровне "а, я слышал про это от Васи, вроде классное" или "я знаю X и не хочу учить Y, потому что я знаю X и поэтому оно лучшее" :)
Про весь цикл: взаимосвязанные (самая важная часть требования): управление целями и задачами, почта+взаимосвязь с клиентами (что-то типа CRM), форумы, хранение документов, интерфейсы к репозитариям, гибкое распределение полномочий и еще куча всего. По отдельности есть масса замечательных продуктов, но вместе их не скрестить за разумные время и деньги; есть различные groupware, которые вроде как являются солянкой из всего перечисленного, но, обычно, каждая такая часть у них очень бедна функционально или наоборот, что-то хорошо развито, а что-то в зачаточном состоянии.
Повторюсь, из OSS не нашлось ничего лучше ProjectView+напильник к нему.

Hiddenman
()
Ответ на: комментарий от Hiddenman

Да, забыл еще сказать, что очень важны различные отчеты типа: количество написанных строк кода в день+ такое же по каждому программисту, отношение это количества к предыдущим и прочее-прочее; очень уж требовательны менеджеры проектов/тимлидеры к различным отчетам. А их в OSS продуктах этого типа практически никто не умеет.

Hiddenman
()
Ответ на: комментарий от Hiddenman

>очень важны различные отчеты типа: количество написанных строк кода в день+ такое же по каждому программисту

У вас так считают производительность прогера? не дай бох в такой конторе трудиццо :)

Я понимаю, что это могут быть требования клиентов, но к счастию не везде такие "индусские" мерки. Бывает, шо меряют работу по конечному результату ;)

Linfan ★★★★★
()
Ответ на: комментарий от Hiddenman

>Первое время просто баги не на что вешать :)

Все начинается (после планирования конечно) с тасков, фичерреквестов, которые тоже в треккере.

>сколько проектов заработали геморрой на определённой стадии развития из-за того, что изначально был выбран стратегически неверный вспомогательный продукт

В конечном итоге все данные лежат в БД и их несложно (при условии что проект разросся) смигрировать на более мощную систему (ту же Jira).

Linfan ★★★★★
()
Ответ на: комментарий от Linfan

>У вас так считают производительность прогера? не дай бох в такой конторе трудиццо :)

+1

r ★★★★★
()
Ответ на: комментарий от Linfan

>> очень важны различные отчеты типа: количество написанных строк кода в день+ такое же по каждому программисту

> У вас так считают производительность прогера? не дай бох в такой конторе трудиццо :)

Такую вещь можно использовать для само-контроля. Все-таки общую тенденцию можно получить. А есть что-то подобное, чтобы по коммитам из svn-а смотрело?

Cris
()
Ответ на: комментарий от Cris

>Такую вещь можно использовать для само-контроля.

А закрытых issue уже не достаточно? Какую тенденцию вы получите? Что к концу недели падает работоспособность, а пик ее приходится на вторник-среду? Это можно и без анализа узнать ;)

Что касательно "по коммитам из svn-а смотрело" - мне лично хватает Tortoise, eSVN, SmartSVN и как смотрелка WebSVN (эт для Вин, Мак и Лин)

Linfan ★★★★★
()
Ответ на: комментарий от bugmaker

Не обижайте Фортран -- не только по этому. Еще потому, что у него очень удобный для вычислительных задач векторный синтаксис и в нем масса полезных вещей, которых в других языках нет.

Я начал писать в свое время на Фортране 90, и старые коды практически не использую. И все равно, если у меня будет возможность решать, на чем писать следующую задачу -- я буду писать ее на Фортране. Потому что это удобно и быстро.

Сейчас, например, приходится писать на Си++ -- типа "политика компании" такая. И что? Куча людей сидят и непонятно зачем пишут привязки для библиотек на Си или на том же Фортране, либо классы, что бы матрицы перемножать...

gene
()
Ответ на: комментарий от r

По поводу JS. Есть знакомые пишет на delcam. Щас лабает на JS внутренние веши которые потом будут компилироваться. Это все в рабочем крупном проекте, который большие бабки стоит. Точно что он лабает не в курсе. Так что JS язык общего назначение.

anonymous
()
Ответ на: комментарий от anonymous

>Так что JS язык общего назначение.

Я это знаю - про то и говорю. JS как язык лучше пыха. Если бы например передомной стояла задача разработать фреймворк по типу пыха с языком общего назначения я бы взял JS. Если бы стояла задача разработать вебфреймворк - я бы написал DSL. А пых получается бедный язык ОН, и никакой не DSL вообще. Ни рыба ни мясо.

r ★★★★★
()
Ответ на: комментарий от floppy_formator

Я вот чайник в веб программировании, всю жизню пишу прилады к БД(разные, от фокса до постгреса).Щас очень нравиться постгрес, чисто серверную логику нравиться писать. Специализация - электроэнергетика. И вот совем недавно, остро (можно сказать, ребром) разработки клиентского итерфейса (а я не люблю клиентов писать - страсть!) именно веб. Кричали мне по пхп. А вот читаю я, читаю тему...и туман усиливается... Нет, народ, правда, ну какой инструмент выбрать для среднего слоя в связке Postgree+Apache? Вся логика на сервере..только процедуры дергать...времени нет чтобы эксперементировать, основное требование - надежность. И еще раз надежность. И еще раз - она же. Скоростью можно жертвовать. Помогите между руганью хрестьянину, а?

nvasileff
()
Ответ на: комментарий от floppy_formator

Я вот чайник в веб программировании, всю жизню пишу прилады к БД(разные, от фокса до постгреса).Щас очень нравиться постгрес, чисто серверную логику нравиться писать. Специализация - электроэнергетика. И вот совем недавно, остро (можно сказать, ребром) разработки клиентского итерфейса (а я не люблю клиентов писать - страсть!) именно веб. Кричали мне по пхп. А вот читаю я, читаю тему...и туман усиливается... Нет, народ, правда, ну какой инструмент выбрать для среднего слоя в связке Postgree+Apache? Вся логика на сервере..только процедуры дергать...времени нет чтобы эксперементировать, основное требование - надежность. И еще раз надежность. И еще раз - она же. Скоростью можно жертвовать. Помогите между руганью хрестьянину, а?

anonymous
()
Ответ на: комментарий от r

про жаба сервер пейджес мне столька понарасказали страстей что как-то и страшно...вот клиента жабского через ждбси пробовал в тесте - вроде ничего, ну чуть тормознее адодб...но ведб вебинтерфейс нужно вот ведь незадача!

anonymous
()
Ответ на: комментарий от anonymous

>про жаба сервер пейджес мне столька понарасказали страстей что как-то и страшно...

Жаба сервер пажес в чистом виде пользуют тока осиливающие и те кто потерялся лет 8 назад и его только нашли.

r ★★★★★
()

Приведу пару примеров на пхп Wikipedia.org - думаю, не надо объяснять, что это такое.

Далее.. форум. За основу которого брался (тут можно посмеятся) phpBB.

> Who is Online? - 22924 users. (20029 visible, 1657 hidden, 1238 guests). > Gaia has 966,538,405 articles posted with 6,611,993 registered users. > Most users ever online was 86,738 on Thu Jan 04, 2007 3:00 pm

Форум. Веб-форум. Цифры, по-моему, просто ошеломляющие. gaiaonline.com/forum/index.php (не реклама, даже не знаю, о чем там болтают). Есть там темы по 10 тысяч страниц, 150 тысяч сообщений в одной теме..

Есть что-нибудь подобных масштабов на питоне/руби/перле? Мне просто интересно узнать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.