следующая тема »

[18 Июль 2025, 13:01:44]

Новости, реклама:

[18 Июль 2025, 13:01:44]

Новости, реклама:

[DeGree]

Может быть у кого-нибудь есть инфа или хотя бы ссылка, где можно почитать про самые распространенные ошибки при написании php-скриптов. Мои поиски не дали ничего хорошего

[iced]

самая распространённая ошибка - написание скриптов на пыхыпы ;]

[Tomcat]

Может быть у кого-нибудь есть инфа или хотя бы ссылка, где можно почитать про самые распространенные ошибки при написании php-скриптов. Мои поиски не дали ничего хорошего

А для чего это надо?... Может яснее станет. Если только ради учебы на чужих ошибках, то лучше уж самому попробовать и обратить внимание на свои ошибки.

самая распространённая ошибка - написание скриптов на пыхыпы ;]

Обосновал бы что ли?!... Хотя бы для вида...

[iced]

1. насчёт слома защиты - мну ключик так никто и не дал
2. насчёт пыхыпы - обосную (я на нём годика 4 прописал):

- magic-quotes (никогда на сайтах не видели \\\'text\\\'? ;])
- возможность миксить html и код
- великолепные возможности для различных инжектов и прочего счастья
- мегабардак в либах (начиная с имён фунхций) - это как следствие отсутствия всякого планирования (общался с девами)
- баги, баги, баги, баги

ну для начала хватит я думаю.

PS. плюсы в пыхыпы тоже есть, но минусы перевешивают.

[iced]

А для чего это надо?... Может яснее станет. Если только ради учебы на чужих ошибках, то лучше уж самому попробовать и обратить внимание на свои ошибки.

в пыхыпы ОЧЕНЬ трудно ловить ошибки.

[Tomcat]

в пыхыпы ОЧЕНЬ трудно ловить ошибки.

Согласен, но уж если найдешь, запомнишь на всю жизнь...  

P.S. Так бы сразу и объяснял, как в своем предыдущем посте.

[DeGree]

Уточняю:
1. Надо для учебы и не только.
2. С синтаксисом пока сам справлялся

Чтобы можно было избежать всяких инжектов, нулевых багов (или как там они называются). Инфа про такие тонкости типа register_globals = Off и тому подобное, что позволяет как можно больше защитить сайт. Чтобы как можно меньше оставить дыр в безопасности. Не охота наступать на чужие грабли самому...

Если еще немного добавить, то инфа обо всяких нюансах написания эффективного и безопасного кода.

[DeGree]

самая распространённая ошибка - написание скриптов на пыхыпы ;]

Как видишь - сам 4 года ошибался

Если уж на то пошло, то что использовать, с точки зрения скорости разработки, простоты отлова ошибок, сопровождения кода, если пишет несколько людей (Хотя я подозреваю, что последнее зависит от прямоты рук).

[iced]

скажу больше - я и сейчас иногда на этой каке пишу. тока никому ни ни ;]

[DeGree]

2 IceD: Ладно, никому не скажу, что ты пишешь на эрэнэр

Так все-таки кто мне что посоветует?

[iced]

доки на php.net (тама юзерс комментс есть). но лучше всё же посмотри в сторону рельс.

[лоМастер]

http://www.web-hack.ru/articles/articles.php?go=10
Вот тут статейка неплохая..

[DeGree]

доки на php.net (тама юзерс комментс есть). но лучше всё же посмотри в сторону рельс.

1. На php-dot-net обязательно гляну.
2. Что такое рельсы?  :-/
3. Спасибо и на этом

Кластеру спасибо за ссылку.

[iced]

http://www.rubyonrails.org/

[X-Penguin]

>- magic-quotes (никогда на сайтах не видели \\\'text\\\'? ;])
только из-за кривоты рук
>- возможность миксить html и код
так же имеется возможность не использовать это
>- великолепные возможности для различных инжектов и прочего счастья
опять же только из-за кривово написания кода
>- мегабардак в либах (начиная с имён фунхций) - это как следствие отсутствия всякого планирования (общался с девами)
... php движется в никуда с их моделью разработки, с этим спорить бесполезно
>- баги, баги, баги, баги
баги, которые они не спешат исправлять...

ну а насчёт багов... мануал с php.net, там можешь посмотреть на раздел Безопасность.
в php-скриптах вобще можно снизить возможность появления дыр, если убрать magic_quotes и register_globals, использовать PDO для построения запросов... ну а с прямыми руками можно все эти ситуации отследить...

[DeGree]

Спасибо всем за участие.
Мануалку я периодически обновляю и читаю.
Хорошо было бы иметь мануалку с юзерс-комментс на локальной машине, так как инета постоянногоу меня нет.

А по поводу багов - насколько я знаю, то их нашли ппочти 40000... Если я правильно посмотрел багтрак.

[iced]

>- magic-quotes (никогда на сайтах не видели \\\'text\\\'? ;])
 только из-за кривоты рук

та та. ви всегда можете контролировать php.ini на сервере?

>- возможность миксить html и код
 так же имеется возможность не использовать это

но вы не всегда можете отказаться от поддержки проекта написанного сторонними людьми таким образом.

>- великолепные возможности для различных инжектов и прочего счастья
 опять же только из-за кривово написания кода

тут ты не в курсе просто. не спорь. в пыхыпы приходится прилагать огромные усилия для защиты от этой каки. btw - когда ты выложишь таки свой первый мегасайт - дай урл ;]

>- мегабардак в либах (начиная с имён фунхций) - это как следствие отсутствия всякого планирования (общался с девами)
 ... php движется в никуда с их моделью разработки, с этим спорить бесполезно

не с моделью разработки а с расп#здяйством.

>- баги, баги, баги, баги  
 баги, которые они не спешат исправлять...

я немного не про те баги что ты. но всё же... ;]

в php-скриптах вобще можно снизить возможность появления дыр, если убрать magic_quotes и register_globals

ещё раз - в общем случае это невозможно

ну а с прямыми руками можно все эти ситуации отследить...

та та.

Код:

$value = trim(get_magic_quotes_gpc() ? stripslashes($_GET[$name]) : $_GET[$name]);

(ц) мну. причём по хорошему ещё стоит учесть вариант когда нету $_GET ;]

[X-Penguin]

>  та та. ви всегда можете контролировать php.ini на сервере?
не php.ini, а .htaccess
> но вы не всегда можете отказаться от поддержки проекта написанного сторонними людьми таким образом.
я считаю что неправильно называть язык плохим, если кому-то не нравится стиль программирования других людей
>в пыхыпы приходится прилагать огромные усилия для защиты от этой каки
но защититься можно
> когда ты выложишь таки свой первый мегасайт - дай урл ;]
я не идеален

где нету $_GET а про указанный тобой кусок кода:
1) прогнать эту операцию в самом начале для всего _GET
2) отключить magic_quotes_gpc в .htaccess
magic_quotes_* намеревались убрать в php6.0, но инициативу задушили, так как надо поддерживать BC. так что php будет тянуть все свои "нелепости" до конца... и ничего, никогда не улучшат... по крайней мере, до смены "лидеров" проекта

[iced]

не php.ini, а .htaccess

каким боком тут .htaccess?

я считаю что неправильно называть язык плохим, если кому-то не нравится стиль программирования других людей

язык одна из основных фишек которого потокает кривописанию - плох.

1) прогнать эту операцию в самом начале для всего _GET

идиотизм.

2) отключить magic_quotes_gpc в .htaccess

как?! вроде низя было.

[X-Penguin]

можно
magic_quotes_gpc - PHP_INI_PERDIR
а раньше вообще PHP_INI_ALL в PHP <= 4.2.3.

[лоМастер]

Не сдержался.
Чуви, в той отрасли в которой я работаю PHP это стандарт де факто.
~90% это PHP, ~7% это perl, ну а остальное это C и C++, для особо ресусоёмких задач. И почему-то людям наплевать на мёртвую можель разработки и т.д. Скорее всего это из-за того, что они работают и зарабатывают деньги, а не 3.14здят на форумах, на тему "что такое хорошо, а что такое плохо" ©

[Neo]

Хе хе, попса всегда была стандартом де-факто. Да и не в деньгах счастье!

[лоМастер]

Хе хе, попса всегда была стандартом де-факто. Да и не в деньгах счастье!

Нео, в своём содержательном стиле

[iced]

та отрасль - это порносайты?

тогда ясно - порноязык для порносайтов ;]

[лоМастер]

та отрасль - это порносайты?

тогда ясно - порноязык для порносайтов ;]

Гхм?
Если СЕО это порно, то да.

[DeGree]

Хм... Довольно познавательно.

[iced]

2Кластер: эквипинессуально.

[Shorty]

Те кто работают в области security очень не любят php. Зато php обожают те кто любит экспроприировать разную прайваси в инете ))

[лоМастер]

2Кластер: эквипинессуально.

а что это значит?
просвети меня серого.

[Админ]

а что это значит?
просвети меня серого.

Поручик, не сметь!
Ответ в приват. И поменьше оффтопа, друзья!