The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Около 90% программ на PHP содержат проблемы безопа..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от opennews (??) on 16-Май-06, 23:13 
Группа elhacker.net провела небольшое исследование и пришла к выводу (http://www.opennet.dev/base/cgi/1147797595_4096.txt.html), что практически 90% исследованных продуктов на PHP (19 из 21 в случайной выборке) позволяют узнать текущий путь их установки в системе  ("Full Path Disclosure" уязвимость).


С первого взгляда проблема выявления пути установки не представляет реальной угрозы и выглядит несерьезно, но позволяет оценить общее отношение большинства PHP разработчиков к проблемам безопасности, игнорирующих основы безопасного программирования.


В качестве другого примера может выступить практически ежемесячное нахождение серьезных проблем безопасности в популярных открытых системах управления конетном (http://wiki.opennet.ru/CMSComparison) и движках форумов (http://wiki.opennet.ru/ForumComparison). Например, на этой неделе прошла информация о выявлении новых  SQL-Injection проблем в YapBB и phpBB.

URL: http://www.opennet.dev/base/cgi/1147797595_4096.txt.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=7527

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от Alex (??) on 16-Май-06, 23:13 
Если руки не из того места растут, то всё что угодно можно сделать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от Аноним on 16-Май-06, 23:42 
стоит признать, что это происходит из-за лёгкости в освоении данного языка. Как следствие, много новичков пишут "боевые" системы, допуская ошибки по незнанию, или элементарной программистской безграмотности. Разбирал тут одну корпоротивную систему, запстил с показом notify - около 1400 замечаний при обработке одной страници
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от Николай Самохвалов on 16-Май-06, 23:50 
ой. это на русском?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от еще один анонимус on 17-Май-06, 01:27 
А все из-за того, что заказчики "жмотятся" на нормальную з/п за проект. Если бы студентов вначале учили "грамотности", а не (полагаясь на дешевизну) давали production-проекты, (имхо) таких бы дырок находилось меньше.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от mutronix on 17-Май-06, 03:58 
Абсолютное большинство заказчиков не знает что такое PHP и не способно оценить профессиональный уровень исполнителя. В большинстве случаев требования к качеству кода не ставятся вовсе. Какая разница сколько заплатит заказчик, если в итоге он всё ровно рискует получить то же самое. Если конечно это не большой заказ на действительно крупную сумму и какого-нибудь толкового программиста или web-студию не задушит жаба его отбить у гастрабайтеров, пока они его не забрали демпенговыми методами.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от dct email(??) on 17-Май-06, 07:32 
Риск, риску рознь.

Расчитывая за 100$ получить какую либо серьезную прикладуху, заказчик изначально увеличивает эти риски до 100% вероятности.

От меня подобным образом проекты уходили, хоть это и не мой основной кусок хлеба. И какбы насколько я вижу, проекты эти, так потихоньку и умерли.. если вообще разродились.

С моей точки зрения, люди, которые не способны оценить трудоемкость проекта и свои трудозатраты, либо оценивающие их занижено, с гораздо большей вероятностью накосячат в конечном результате.

Только вот с точки зрения заказчика, к примеру 300$ против 1000$ перебивают все разумные доводы и последние отголоски разума :).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от citrin email(ok) on 17-Май-06, 12:14 
>Риск, риску рознь.

> Расчитывая за 100$ получить какую либо серьезную прикладуху, заказчик изначально
> увеличивает эти риски до 100% вероятности.

У меня складывается впечатление, что в нашей стране многие руководители совершено не умеют оценивать риски и принимать решения исходя из их существования. И дело касается не только безопасноти но и любых других факторов, которые носят вероятностный характер.

Например многие экономят на бесприбойниках (UPS), несмотря на то, что простой при отключении питания может принеси убытков гораздо больше чем этот UPS стоит... Все надеются на авось. Авось в этом году не будет перебоев с питанием. Авось нашим сайтом не заинтересуются хакеры.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от BB (??) on 17-Май-06, 10:12 
Любой динамичесчий контент это одна большая дыра :)
Программист может быть очень квалифицированным, но он не хакер, который специализируется именно на поиске таких уязвимостей. Так как практически невозможно написать качественный код большоего проекта на том что по определению дыряво как решето. Это относится не только к PHP.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от uldus (ok) on 17-Май-06, 11:02 
>Любой динамичесчий контент это одна большая дыра :)
>Программист может быть очень квалифицированным, но он не хакер, который специализируется именно
>на поиске таких уязвимостей. Так как практически невозможно написать качественный код
>большоего проекта на том что по определению дыряво как решето. Это
>относится не только к PHP.

А что программист уже не компетентен делать простые проверки входящих параметров ? Все зло от этого, и никакого хакерства, просто смотри и проверяй что приходит от юзера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от BB (??) on 18-Май-06, 10:38 
>А что программист уже не компетентен делать простые проверки входящих параметров ?
>Все зло от этого, и никакого хакерства, просто смотри и проверяй
>что приходит от юзера.

В 99.9% программист не будет лезть в исходники функции что-бы определить как надо фильтровать входные данные от пользователя. Есть конечно некие базовые вещи котрые надо проверять, но они полностью не избавляют от проблемы.
Дыры то как правило находят все новые и новые :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от uldus (ok) on 18-Май-06, 11:50 
>В 99.9% программист не будет лезть в исходники функции что-бы определить как
>надо фильтровать входные данные от пользователя. Есть конечно некие базовые вещи
>котрые надо проверять, но они полностью не избавляют от проблемы.
>Дыры то как правило находят все новые и новые :)

Нужно отделять мух от котлет, дыры в самом php и дыры в программах на php. Программист программируюя форум обязан проверить, чтобы в переменной с именем пользователя не прошла часть SQL запроса, как минимум нужно спецсимволы экранировать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от BB (??) on 18-Май-06, 17:07 
>Нужно отделять мух от котлет, дыры в самом php и дыры в
>программах на php. Программист программируюя форум обязан проверить, чтобы в переменной
>с именем пользователя не прошла часть SQL запроса, как минимум нужно
>спецсимволы экранировать.

А можно пример в студию для экранирования такой классики как  ' or 'a'='a

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от Danil email(??) on 19-Май-06, 00:42 
>А можно пример в студию для экранирования такой классики как  '
>or 'a'='a

В PEAR quoteSmart не подойдёт? Которая для MySQL в итоге вызывает mysql_real_escape_string.
Просто я PEAR::DB частенько пользуюсь..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от BB (??) on 19-Май-06, 10:28 
>>А можно пример в студию для экранирования такой классики как  '
>>or 'a'='a
>
>В PEAR quoteSmart не подойдёт? Которая для MySQL в итоге вызывает mysql_real_escape_string.
>
>Просто я PEAR::DB частенько пользуюсь..

А PEAR quoteSmart исходники досконально просмотренны ?:) оно во всех случаях вернет реальную строку или есть шанс что нет ?
ну и второй вопрос, многие высококвалифицированные программисты знают про такие уязвимости ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от phpcoder email(??) on 19-Май-06, 06:53 
>А можно пример в студию для экранирования такой классики как  '
>or 'a'='a


stripSlashes() ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от Аноним on 19-Май-06, 13:38 
>>А можно пример в студию для экранирования такой классики как  '
>>or 'a'='a
>
>
>stripSlashes() ?
сравните  http://ru.php.net/manual/ru/function.stripslashes.php и http://ru.php.net/manual/ru/function.addslashes.php
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от phpcoder email(??) on 19-Май-06, 13:52 
>сравните  http://ru.php.net/manual/ru/function.stripslashes.php и http://ru.php.net/manual/ru/function.addslashes.php

Уупс! Конечно же я имел ввижу addSlashes().. названия перепутал, т.к. давно на РНР ничего не писал %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от AD3000 email on 05-Сен-07, 12:43 
>>Любой динамичесчий контент это одна большая дыра :)
>>Программист может быть очень квалифицированным, но он не хакер, который специализируется именно
>>на поиске таких уязвимостей. Так как практически невозможно написать качественный код
>>большоего проекта на том что по определению дыряво как решето. Это
>>относится не только к PHP.
>
>А что программист уже не компетентен делать простые проверки входящих параметров ?
>Все зло от этого, и никакого хакерства, просто смотри и проверяй
>что приходит от юзера.

Неправы! Пример: скрипт подключается к базе, хакер (читать кракер) прибивает хост с субд к примеру дос-атаками или использует SQL-иньекции чтобы подвесить базу, далее скрипт не ощутив коннекта к базе рапортует: "мля немогу подконектится к базе такойто, юзер такойто, пароль такойто..." Реально? Я так поимел одного асп-ешника, а сайт крупной торговой фирмы :) было весело вообщем. БЕЗГРАМОТНОСТЬ ПРОГРАММЕРОВ ПОРАЖАЕТ ПОРОЙ :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от citrin email(ok) on 17-Май-06, 12:26 
> Любой динамичесчий контент это одна большая дыра :)
> Программист может быть очень квалифицированным, но он не хакер, который специализируется
> именно на поиске таких уязвимостей. Так как практически невозможно написать качественный
> код большоего проекта на том что по определению дыряво как решето.

Очень много зависить от программиста от его стиля работы.

Если писать заведомо дярыве приложения, а потом латать те уязвимости которые найдены, то будет как Вы описываете. Поскольку в плохо написанном приложении хакер всегда найдет больше дырок чем программист.

Но если писать c security in mind, то все силньо меняется. Причем это не намного сложнее. Просто нужно уметь писать безопасно. А если человек научился этому, то он будет писать качественный код с такой же скоростью как новичок пишет небезопасный код.

Многие программисты не утруждают себя даже проверкой входных параметров. Их приложения, конечно, дырявы. Из этого не следует, что все веб приложения дырявы как решето.

Многие из тех, кто пишут небезопасные приложения даже не слышали что такое SQL Injections, а  если и слышали то не понимают как это относится к их приложениям.

В общем вывод такой - учиться, учиться и еще раз учиться. (c) Ленин.

Читать книжки вроде OWASP Guide
http://www.owasp.org/documentation/guide/guide_about.html
и другие.

Еще хочу заметить, что качество кода и его безопасность вещи взаимосвязанные. Те кто пишут  небезопасный код делают больше багов не связанных с безопасностью...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от zk on 17-Май-06, 10:26 
Дыры есть в любом софте. Абсолютно.
И не нада говорить конкретно про php.
Этак если взять OSS С программы, то можно сказать что дыры есть в 100% программ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от BB (??) on 17-Май-06, 10:38 
Именно так оно и есть :)
Чем выше уровень абстракции у какого-либо инструмента, тем больше потенциальных уязвимостей в нем. :) И тем больше потенциальных уязвимостей у проекта на нем написанном.
И в тоже время, на дырявом интрументе можно создать проект на 99% процентов свободном от уязвимостей, но это уже совсем другая тема :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от uldus (ok) on 17-Май-06, 11:09 
>Дыры есть в любом софте. Абсолютно.

Все чаще и чаще слышу подобное заблуждение. Видимо какя-то попытка оправдать собственную безграмоность.

PS. Учится нужно по работам DJB и Wietse Venema. Посмотри security.html из Postfix, там на одной странице рассказано как избежать 99% проблем.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от fresco on 18-Май-06, 09:36 
Это не заблуждение, это статистика. Дыры есть абсолютно в люых _функциональных_ приложениях .
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от uldus (ok) on 18-Май-06, 10:35 
>Это не заблуждение, это статистика. Дыры есть абсолютно в люых _функциональных_ приложениях
>.

Можно написать любое функциональное приложение в котором не будет дыр, лишь бы голова у разработчиков была там где нужно. Ваша статистика говорит о плачевном состоянии уровня образования большинства разработчиков, которые для своего оправдания и выдумывают мифы о невозможности избежать простейших дыр. 99% дыр можно избежать на этапе разработки и отладки, 1% оставим под человеческий фактор :-)

Посмотрите сколько Coverty своим роботом находит багов, и сколько из них, на которые даже показали пальцем, исправлены.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от Alex (??) on 17-Май-06, 11:33 
Всё правильно. И новичков много, и заказчики жмотятся. Сюда же можно доавить общую спешку и неорганизованность, которые сопровождают появление любого большинства проектов...
Но РНР сам по себе дедисциплинирует программиста.
1) Только в угаре можно было додуматься смещивать код и данные! В век, когда придуманы 1001 способ разделить код и данные от конфигов и .h-файлов до шаблонов и баз данных наконец... в это всремя появляется "язык" в котором код и данные перемешаны! Это в голове не укладывается! Врезультате невозможносопровождать ни HTML-код (данные), ни PHP-код. Отсюда и появляются всякие уродцы.
2) Я всё понимаю. Очень мило вкомпилить всё в сервер, но получается, что язык содержит около 3000 функций. Причём их набор зависит от сборки. Отсюда:
2.1) Код получается непереносимым
2.2) Никто не знает весь РНР. Новый программист не очень понимает то, что писал старый, появляются нагромождения кода и дыры в защите.
3) При необъятности возможностей (нездоровой) РНР остаётся фантастически примитивным языком. Я молчу про то, что межанизм указателей в нём находится на уровне Perl4, но есть совершенно непростительные ляпы. Например в точке вызова функции не видно, как передаётся параметр: по ссылке или по значению. (Тоже относится и к возвращаемым значениям) Это пораждает неразбериху при совместной разработке или при последующей доработке.
Короче РНР -- ЗЛО )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от Аноним on 17-Май-06, 12:03 
>ни HTML-код (данные), ни PHP-код
HTML-код - это оформление, а никак ни данные

>2.1) Код получается непереносимым
с чего бы это? доставь нужное расширение и все. как это связано с переносимостью?

>2.2) Никто не знает весь РНР. Новый программист не очень понимает то, что писал старый, появляются нагромождения кода и дыры в защите.
бред пишите, уважаемый, бред
PHP очень хорошо дукументирован

>межанизм указателей в нём находится на уровне Perl4
каких еще указателей? их там нет вообще! а были бы, дыр было бы просто море

>Например в точке вызова функции не видно, как передаётся параметр: по ссылке или по значению. (Тоже относится и к возвращаемым значениям)
можно поподробнее?

>Это пораждает неразбериху при совместной разработке или при последующей доработке.
по-моему, проблема в организации..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от skyogre on 17-Май-06, 13:14 
>HTML-код - это оформление, а никак ни данные
Какая разница. Всё-равно любой нормальный человек постарается отделить оформление от исполняемого кода. А в PHP теперь пишут целый фреймворки с реализацией Model-View-Controller. Ибо такое встраивание годится только для гостевой книги и не больше.

>>2.2) Никто не знает весь РНР. Новый программист не очень понимает то, что писал старый, появляются нагромождения кода и дыры в защите.
>бред пишите, уважаемый, бред
>PHP очень хорошо дукументирован
Документация не причём. Но PHP, можно сказать, "стимулирует" новичка писать код так, что он в дальнейшем нечитабелен. И нужно предельно аккуратно относится к своему коду, чтобы он не превратился в помойку в последствии, даже если дизайн хороший.
А много человек знают весь STL? Начать с того, что там дефолтный аллокатор глюкавый в реализации GNU. Об этом узнаёшь случайно, когда наткнёшься.. Реализации поставляющиеся с коммерческими компиляторами при этом работают нормально.

>>Например в точке вызова функции не видно, как передаётся параметр: по ссылке или по значению. (Тоже относится и к возвращаемым значениям)
>можно поподробнее?
Пишешь вызов ф-ии и передаёшь ей аргумент. В этом месте не видно, по ссылке или значению была передана переменная, нужно смотреть объявление самой функции. Но этим и .Net страдает, уж на что элегантный язык, и на с++ такой подход зачастую используется.

Перефразирую: PHP - зло для больших проектов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от Аноним on 18-Май-06, 14:15 
>>HTML-код - это оформление, а никак ни данные
>Какая разница. Всё-равно любой нормальный человек постарается отделить оформление от исполняемого кода.
человек, на чей пост был ответ, просто не понимает, о чем пишет, на что и было указано

>А в PHP теперь пишут целый фреймворки с реализацией Model-View-Controller. Ибо
>такое встраивание годится только для гостевой книги и не больше.
никто и не спорит с этим.
кстати, тот же способ, только наоборот, можно использовать и в других языках, например printf("< h1 >%s< /h1 >", header_text);
просто в пхп это сделано несколько более удобно

>>>2.2) Никто не знает весь РНР. Новый программист не очень понимает то, что писал старый, появляются нагромождения кода и дыры в защите.
>>бред пишите, уважаемый, бред
>>PHP очень хорошо дукументирован
>Документация не причём. Но PHP, можно сказать, "стимулирует" новичка писать код так,
>что он в дальнейшем нечитабелен.
честно говоря, не особо понимаю, чем он стимулирует это делать..
а если вернуться к изначальному заявлению, то про новичков там ничего не было :) если автор не может сам разобраться в творчестве предшественника, либо полагает, что после него нельзя будет разобраться.. ну что ж.. причины могут быть разными :)

> И нужно предельно аккуратно относится к
>своему коду, чтобы он не превратился в помойку в последствии, даже
>если дизайн хороший.
само собой, это всегда нужно

>А много человек знают весь STL? Начать с того, что там дефолтный
>аллокатор глюкавый в реализации GNU. Об этом узнаёшь случайно, когда наткнёшься..
>Реализации поставляющиеся с коммерческими компиляторами при этом работают нормально.
это скорее проблемы реализации, а не документирования

>>>Например в точке вызова функции не видно, как передаётся параметр: по ссылке или по значению. (Тоже относится и к возвращаемым значениям)
>>можно поподробнее?
>Пишешь вызов ф-ии и передаёшь ей аргумент. В этом месте не видно,
>по ссылке или значению была передана переменная, нужно смотреть объявление самой
>функции.
а нужно ли это? я пока не замечал такой необходимости..
если вы используете функцию, то должны бы знать как ее использовать

>Перефразирую: PHP - зло для больших проектов.
это весьма существенное дополнение по сравнению с первоисточником, не правда ли? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от Dimez email(??) on 17-Май-06, 16:55 
> бред пишите, уважаемый, бред
> PHP очень хорошо дукументирован
Да? А вот, например, ссылка
http://ru.php.net/manual/ru/function.imagefttext.php
указывает на обратное.
Хотя, как написано, "(PHP 4 >= 4.1.0, PHP 5)", т.е. функция появилась ешё в php-4.1.0.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "OpenNews: Около 90% программ на PHP содержат проблемы безопа..."  
Сообщение от Аноним on 18-Май-06, 14:20 
>> бред пишите, уважаемый, бред
>> PHP очень хорошо дукументирован
>Да? А вот, например, ссылка
>http://ru.php.net/manual/ru/function.imagefttext.php
>указывает на обратное.
>Хотя, как написано, "(PHP 4 >= 4.1.0, PHP 5)", т.е. функция появилась ешё в php-4.1.0.
да, наверное, я несколько неточен был :)
скажем так, наиболее востребованные функции хорошо документированы
что касается вашей ссылки, то там из контекста непонятен только последний опциональный аргумент.. все относительно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от citrin email(ok) on 17-Май-06, 12:09 
Наплевательское отношение программистов к безопасности действительно удручает.

Не раз когда я говорил некоторым людям о том, что в их веб-приложениях есть уязвимости я получал ответ - а мне плевать, мне деньги платят за то, чтоб работало, а не за безопасность.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от umnik on 17-Май-06, 12:44 
но, темнеменее обсуждая здесь эту тему мы можем подчеркнуть это для себя, а всем остальным впринципе напливать, многие веберы, покажут красиво оформленый движок возьмут деньги отдадут диск или накрайняк для заказчика зарегают на хостинге домен,зальют и всё, а что там и как написано одному писальщику известно. и если несказать хуже он сам незнает отом какого он написал, потомучто после написания протестил только работоспособность и неболее...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от uldus (ok) on 17-Май-06, 14:12 
>а всем остальным впринципе напливать, многие веберы, покажут красиво оформленый движок
>возьмут деньги отдадут диск или накрайняк для заказчика зарегают на хостинге

Часто отдают скомпилированные zend encoder бинарники, так что даже очевидные ошибки в их поделке не поправить своими силами, а через полгода и след от тех девелоперов простынет.

Есть одни знакомые купившие за огромные деньги популярный коммерческий движок на php и уже не первый месяц добиваются чтобы в него отложенные insert включили, иначе в пиках все затыкается, сами бы сделали все за пять минут, да не тут то было. Вот вам и отличие бесплатного софта и программ за 10k$, и там и там о безопасности и производительности не думают.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от phpcoder email(??) on 18-Май-06, 13:56 
>Часто отдают скомпилированные zend encoder бинарники, так что даже очевидные ошибки в
>их поделке не поправить своими силами

Да, вот это вообще ужасно :-((


/me тестирует такой продукт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от sniff on 18-Май-06, 20:18 
ps. offtopic
Зазенденые скрипты не проблема, могу раскриптовать зазенденые файлы...
Будет не дорого стоить ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от umnik on 20-Май-06, 19:58 
читаем название ньюса, а не про то что кого закодировал!!!! или желает декодировать.....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Около 90% программ на PHP содержат проблемы безопасности"  
Сообщение от scum (??) on 25-Май-06, 14:36 
Я тоже согласен со всем сказаным выше. Работал в московсом институте (причем не из самых плохих) и при этом часто общался со студентами с кафедры информационных технологий. Вы бы видели, как ужасно там преподают! Сидят там старперы всякие, которые гоняют ребят в основном, по математике, а прикладных знаний не дают вообще. Например, приходит ко мне парень и показывает php код и спрашивает, почему он у него не работает. А у него все вызовы выглядят как func_(args), а там где я написал _ у него стоят пробелы. Когда я спросил, почему у него такие глупые ошибки, им чего, основы синтаксиса то же самой сюхи не объясняли? - он сказал, что нет, они ряды всякие раскладывают в основном. А парень то далеко не глупый. Старается, я вижу. А вы бы видели, как им объясняли SQL! Бабуля какая то им это читала. Бабуля! А еще она им читает математические принципы работы RSA, не обяснив им даже сначала основных принципов работы алгоритмов с открытым ключом. Не объяснила даже студентам, что означает mod в ее лекциях. Что такое арифметика в классах вычетов, ребята до сих пор так и не знают, зато ряды они раскладывают професионально :) А ведь уже завтра эти выпускники пополнят ряды новоявленных программеров с кашей в голове, какя тут нахрен безопасность! А работодателям все по фигу, им самое главное, чтобы специалист поменьше зарплаты себе требовал. Отсюда и обьявления вида "Требуется специалист со знаниями perl, php, ruby, python, c, c++, java, apache, linux, html, xml (не хватает еще пролога и лиспа для крутости) на зарплату 600$", коими завалены российские сайты поиска работы. Понятно, какой человек откликнется на такое предложение. Или вот такое предложение, на которое я натолкнулся пару месяцев назад, там пишут, что молодой и переспективной фирме, занятой в области аудита безопасности требуется безопасник со знаниями стека протоколов TCP/UDP. Я не описался - именно TCP/UDP! Представляете, что в итоге получится, когда такой аудитор поработает над программным проектом, написанным тем самым программером за 600$? А потом они будут впаривать нам свое совместно накаляканное чудо за вполне приличные деньги. И никуда тут не денешься, потому что живем мы в раздолбайской стране, единственной стране в мире, где в национальном языке есть такое слово, как "халява". Плохо все, короче.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру