LINUX.ORG.RU

Безопасность PHP изнутри


0

0

Читайте интервью со специалистом по безопасности PHP - Stefan Esser'ом, который недавно покинул команду разработчиков и известен, прежде всего, своим проектом Hardened PHP. Из интервью вы узнаете, что на данный момент накоплена база из 31 серьёзных ошибок, что PHP лучше не запускать в виде модуля апача, что, не смотря на все ухищрения, сам язык PHP крайне небезопасен.

Тем временем, вышел PHP 5.2.1, в котором исправлена большое количество ошибок (более 180), а также произведены некоторые оптимизации: http://www.php.net/releases/5_2_1.php

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: Re: Безопасность PHP изнутри от anonymous

Re: Безопасность PHP изнутри

> Это где-ж в России на питоне дадут писать на работе? Только винда, только .net и только VB || C# . Надо радоваться что хотя-бы на РНР разрешают...

Не там работу ищешь, уважаемый.

anonymous ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

>И если что, в PHP есть механизмы, чтобы обезопасить от подобного рода проблем. Если девелопер ими не пользуется, ну так и флаг ему в руки...

pento ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от pento

Re: Безопасность PHP изнутри

> Хмм, ещё раз ...уязвимости типа SQL inj, XSS и так далее - целиком

> вина девелоперов. На перле/питоне нет подобных дыр из-за языка?

Именно! Нет подобных дыр из-за языка.

dmesg ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

>Питон и перл это языки общего назначения и так разрабатывались.

питон - да.
а вот перл разрабатывался как язык обработки текстов. (Practical Extraction and Report Language)

smartly ★★★ ()
Ответ на: Re: Безопасность PHP изнутри от smartly

Re: Безопасность PHP изнутри

Кстати, почему никто до сих пор не вспомнил, что PHP - это акроним, расшифровывающийся, как "PHP: Hypertext Preprocessor".

И будет ли кто тут говорить, что пых-пых был изначально языком общего назначения...

MaratIK ()
Ответ на: Re: Безопасность PHP изнутри от vada

Re: Безопасность PHP изнутри

>Меня тут нагибают поставить ExBB форум. Что про него межете сказать?

>Стоит связываться, или спать спокойно не буду?

Если форум будет не большой (до 50...100k сообщений) то может даже побыстрее и понадёжнее прочих будет. Сборка фуллмодс 0.1.5 стабильна и известных незакрытых уязвимостей несмотря на тему дискуссии не содержит. gpl опять же.

anonymous ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

> Дык вот если я беру специализированный для задачи инструмент - я ожидаю, что он мне поможет в этой задаче, избавит меня от "ручной работы" взяв ее на себя

Что php и делает. Параметры запросы принимает? Параметры форм, файлы принимает? Сессии умеет поддерживать? Заголовки в html ставить умеет? Буферизацию вывода поддерживает? Чего вам ещё надо? Если совсем ужать, то суперрельсы получатся. Все сайты выглядят и работают одинаково. Ха-ха-ха...

Когда мы говорим об инструменте, даже о специализированном, то специализация бывает разная. Вот гайку можно отвернуть каечным ключём, а можно пассатижами. Гаечным ключём намного удобнее. Но вот беда, он ограниченный набор гаек отворачивает. Скажем на 10 и на 12. А что вам делать, если у вас ещё гайка на 14? Ключи, впрочем тоже бывают очень разные. И чем универсальнее инструмент, тем больше квалификации надо. Но и возможностей больше.

Вон C - совсем универсальный, на нём можно сделать динамический сайт вообще без ничего. :) И сервер и логику. Php, впрочем тоже до этого дорос. ;-)

Хотите сверхзаточенный инструмент? Можно, только не жалуйтесь, что на нём шаг влево шаг вправо сделать нельзя.

А если приводятся аргументы: ах, там можно написать программу, что сломают. Ну... Не пишите так. Что же вы хотите - инструмент, который будет давать так мало, что в нём нельзя будет ошибиться? Ужасаюсь. Как же вы фаерволы себе настраиваете? Как не объявляете отстоем iptables/pf? Там же тоже можно ошибиться и подумать надо ДО. После взлома настраивать поздно.

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

Cогласен что Ruby,Perl,Phyton более серьезные языки во всех отношениях.

Попытаюсь объяснить популярность PHP (популярность, как я понимаю, это и есть кол-во, как выражаются выше, быдлокодеров).

1) документация на всех языках

2) от типов данных и стиля программирования (пусть не таких гибких) у новичков, знающих немного C,Pascal и пр., не сводит зубы (повторяю - рассматриваем основную массу кодеров)

3) для большинства простых задач достаточно одного интерпретатора, без всяких там PEARs, PECL, CPAN и т.п.

Например, в свое время пытался для встроенной железяки мини PERL поставить. В итоге для простого скрипта поехало нужен можель X, которому нужен модуль Y и так далее пока ещё мегабайта 3 не накрутились.

Phyton не пробовал, судя по использованию профессионалами - должно быть гуд. Однако позабавил синтаксис на основе отступов в исходном файле.

Ruby не плох, но изучать нужно. Наскоком не возьмешь. Много новых и оригинальных подходов.

Увлекся, пока, и так уже чувствую скорый пипец от широколобых хранителей культа.

ldvr ()
Ответ на: Re: Безопасность PHP изнутри от ldvr

Re: Безопасность PHP изнутри

> Ruby не плох, но изучать нужно. Наскоком не возьмешь. Много новых и оригинальных подходов.

Ну, не знаю, я за неделю освоил. Ничего принципиально нового причём не нашёл, кроме может возможности доопределять методы в уже существующих классах, включая встроенные. А язык действительно очень приятный, как-то всё очень здорово друг с другом сочетается.

Насчёт отступов в питоне - я питона не знаю, но идея представляется абсолютно разумной (она применяется ещё в хаскелле). В том же ruby писать end раздражает, а отступы у меня в любом случае всегда одинаковые. В чём смысл этой отдельной строчки с end? Другое дело, когда всё в одну строчку пишется - там end ещё имеет смысл.

Teak ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от prizident

Re: Безопасность PHP изнутри

>пхп хороший язык и на нем написано много хороших и полезных приложений

Вот они! Слова не юноши, но хакера.

soomrack ★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>Чего вам ещё надо?

То есть по вашему для веб-ориентированного фреймфорка (коим PHP и является) наличе возможностей которые приводят например к SQL Injection - это нормально? Какого хрена если этот движок ориентиран на веб вся суть которого реакция на параметризованые запросы не реализует _нормальныую_ передачу параметров с нормальным эскейпингом при котором бредятина типа вот этой http://www.linuxjournal.com/article/6061 станет вообще невозможной? И эти проблемы явно в ДНК самого PHP, вследствии самой кривой архитектуры.

>Что же вы хотите - инструмент, который будет давать так мало, что в нём нельзя будет ошибиться?

Да не ошибаться!

Возьмем например проблему с глобалсами. Проблема же не в их наличии, а в том что в пыхе все внутренние переменные и параметры запроса находятся в одном скопе и интерферируют. Да того кто их поместил в один скоп надо с разгона и об стену - этож очевидно было ежу, что так делать нелзя. И это фундаментальный баг самого движка.

Да почитай ту ссылку что я привел. Какого хрена этим всем должен вообще страдать пользователь?

r ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от dmesg

Re: Безопасность PHP изнутри

> Именно! Нет подобных дыр из-за языка.

Вы бы ещё по securitylab прошлись, прежде чем такие откровения делать.

Perl:
http://www.securitylab.ru/vulnerability/262859.php
http://www.securitylab.ru/vulnerability/203984.php

Python:
http://www.securitylab.ru/vulnerability/203625.php
http://www.securitylab.ru/vulnerability/205095.php

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от MaratIK

Re: Безопасность PHP изнутри

> Кстати, почему никто до сих пор не вспомнил, что PHP - это акроним, расшифровывающийся, как "PHP: Hypertext Preprocessor".

Потому что, кому-то надо выйти из спячки. И вспомнить, что это уже давно не так. А ещё Ларри Уолл как-то расшифровал Perl как Patalogically Eclectic Rubbish Lister. Ещё будут умничения?

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от dmesg

Re: Безопасность PHP изнутри

1. http://perldoc.perl.org/perlsec.html Поиск по SQL => 0 результатов Повторяю вопрос Как перл на уровне языка противодейтсвует SQL инъекциям таким образом, чего нет в PHP. Было бы здорово, если ты удосужился ответить, иначе и тебе будут ссылки на ман пхп.

2. по поводу use strict в php error_reporting=E_ALL display_errors=on на девелоперской машине

3. против SQL inj => mysql_real_escaping() против XSS => htmlspecialchars()

pento ★★★★★ ()

Re: Безопасность PHP изнутри

Для небольших Веб-программок ИМХО php - лучшее решение. Для больших проектов - лучше Java. А Perl вообще слишком неудобен для веб. Так же неудобен как и php для прикладных программ. ИМХО.

От того, что один разработчик одного языка истерически вопит о его глюкавости, это не значит что этот язык хуже других. Это значит, что у других разработчиков просто хватает мозгов держать себя в руках. Всё.

DOKA ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Безопасность PHP: раз - и вы изнутри

> Хотите сверхзаточенный инструмент? Можно, только не жалуйтесь, что на нём шаг влево шаг вправо сделать нельзя.

ну, не совсем так. Можно и универсальный инструмент достаточно удобным сделать (см. разводной ключ) и заточенный настолько узко, что область работы в нём равна нулю. ПХП как язык плох, хотя бы потому что провоцирует на смешение из данных и кода, и рассчитан на хтмл-вставки, потому что им самим область хтмл перекрыть практически невозможно. А положение с безопасностью в нём показывает, что он не только неудачен как замысел но и воплощён весьма топорно. Я удивлён тем, что несмотря на это пхп распространён так сильно. Хм, прямо как венда.

bugmaker ★★★★☆ ()
Ответ на: Re: Безопасность PHP изнутри от ldvr

Re: Безопасность PHP изнутри

> Попытаюсь объяснить популярность PHP (популярность, как я понимаю, это и есть кол-во, как выражаются выше, быдлокодеров).

Видите ли, тут есть одно маленькое но. Пуполярность php лишь означает вероятность найти поддержку php на произвольном хостинге. И всё. Какое вам дело, до того, кто на нём пишет ещё?

Выучим русский за то, что на нём разговаривал Ленин? ;-) И забуем за то, что - Чикатило? :) За гламур исключим из палитры фиолетовый, за геепричастность - голубой, за лесбиянство - розовый, за "проклятое прошлое"(tm) - красный, за политкорректность - чёрный, белый и жёлтый. Наконец, зелёвый викинем, чтобы не оскорблять мусульман (а за одно чтобы не попасть в их число). И что у нас останется? ;-)

> Например, в свое время пытался для встроенной железяки мини PERL поставить. В итоге для простого скрипта поехало нужен можель X, которому нужен модуль Y и так далее пока ещё мегабайта 3 не накрутились.

Ох, как мне это знакомо. Особенно, когда модули нестандартные. ;-)

> Phyton не пробовал, судя по использованию профессионалами - должно быть гуд.

Тут сложно. В качестве скрипт-движка жалобы слышал, типа медленный. Тогда понятно, что он на web делает. Php в нынешней ипостаси только ленивый не обгонит. :)

> и так уже чувствую скорый пипец от широколобых хранителей культа.

Нафиг их посылать. Тот, кто жалуется на язык за то, что на нём можно программу с ошибками написать, расписывается в собственной некомпетентности. Как бы прося средство, которое отрежет кривые руки, ноги и спрячет в безопасный бетонный ящик.

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от r

Безопасность PHP изнутри тоже (_!_)

>> 3. против SQL inj => mysql_real_escaping() против XSS => htmlspecialchars()

> В точку. Самые популярные топики по версии гугла на тему mysql_real_escape

это _костыль_. В нормальных средствах разработки не должна быть видна sql-изнанка в каждой строчке кода, а доступ к бд должен осуществляться через модель, причём такую, чтобы её можно было легко выразить средствами языка программирования, а не языка запросов. Можно лажать быдлокодерофф, что они забывают/не умеют пользоваться костылём, но сам факт нужности костыля никак пхп не украшает.

bugmaker ★★★★☆ ()
Ответ на: Безопасность PHP изнутри тоже (_!_) от bugmaker

Re: Безопасность PHP изнутри тоже (_!_)

>но сам факт нужности костыля никак пхп не украшает.

И факт того, что в топе гугла проблемы самого костыля, при чем проблемы того плана, от которых костыль по задумке должен защищать:)

r ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>Тот, кто жалуется на язык за то, что на нём можно программу с ошибками написать, расписывается в собственной некомпетентности.

Я там вверху привел ссылку на "PHP with security in mind". Прочитай ее и скажи это нормальное решение или набор костылей?

r ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

> То есть по вашему для веб-ориентированного фреймфорка (коим PHP и является)

Не является. Понимаете? Php - это язык. Операторы, синтаксис. Максимум - штатный rtl. Всё. Есть текущая реализация. Она несколько хреновата. Есть две надежды:

1) Её исправят и улучшат, пусть и ценой частичной потери совместимости. (Выкинут часть режимов, откажутся от ansi).

2) Php на Parrot.

Далее. В php, начиная с 5.0 появилась нормальная поддержка ООП. Собственно, все фреймворки пишутся уже на самом php. И они есть и они разные. Если вы выбрали плохой, то предъявлять притензии к языку - странно. Не, если вам хочется one world - one rule - one rails, то вы найдёте себе по вкусу. :)

> Возьмем например проблему с глобалсами.

Этому атавизму - сто лет в обед. Глобалсы - болезнь роста. Их ввели, потому что круто и просто. И только потом подумали, что в сложном коде даже опытному программеру легко зевнуть. Соответсвенно, от них избавляются. Сейчас они выключеный поумолчаний. В 6.0 их какжется уже не будет совсем. Сразу их убить было нельзя. Именно из-за совместимости. Но так и средства ранее были доступны! Можно было отключить их из самого скрипта. Можно было очистить весть список в начале. Да, жопа. Но терпимая для _переходного процесса_. Чтобы быстро заставить работать старые скрипты. Новые сразу так писать не надо.

> Какого хрена этим всем должен вообще страдать пользователь?

Вы имеете ввиду пользователя-разработчика? Если так, то он должен иметь МОСК. И понимать как работает его программа, что и для чего он делает. Если он этого не понимает, не понимает, как вообще работает система, то его не спасёт никакой язык. Всё равно зевнёт где-нибудь. Напишет функцию восстановления пароля, с выводом на экран и для любого желающего. ;-)

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

> Тот, кто жалуется на язык за то, что на нём можно программу с ошибками написать...

Да никто особо именно НА ЭТО не жалуется, ты не подменяй мысли. Жалуются на язык, в котором дикое количество костылей(причём небезопасных), дублирующих друг друга. Как тут говорят - у PHP - проблема в ДНК. Которые просто провоцируют к раздолбайскому отношению к написанию кода.

И на сам интерпретатор, ибо из-за проблемы ДНК в котором ТОЖЕ находят постоянно дыры и уязвимости.

Deleted ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

> Их ввели, потому что круто и просто. И только потом подумали...

И вот так с очень многим. Вот как раз из-за этого и вся нелюбоффь.

Deleted ()
Ответ на: Безопасность PHP: раз - и вы изнутри от bugmaker

Re: Безопасность PHP: раз - и вы изнутри

> ПХП как язык плох, хотя бы потому что провоцирует на смешение из данных и кода, и рассчитан на хтмл-вставки, потому что им самим область хтмл перекрыть практически невозможно.

А вы не провоцируйтесь. Вставки - это специальный случай, не надо растягивать его на общее. Как говорил мой знакомый, он выяснил, бульон можно есть китайскими палочками, но вот нужно ли. Есть smarty, есть другие.

> Я удивлён тем, что несмотря на это пхп распространён так сильно. Хм, прямо как венда.

Хм... И первое что приходит в голову - уравнять их? Интересно, за испрользование php идут откаты? Разработчики бомбят всех гет зе факс про пайтон и руби? ;-)

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

> Я там вверху привел ссылку на "PHP with security in mind". Прочитай ее и скажи это нормальное решение или набор костылей?

Это _реализация_. Не язык. Я не говорил, что в восторге от реализации. Она медленная и глючноватая. Но, как отмечено выше, есть ещё две надежды, что php поживёт и поживёт лучше, чем сейчас.

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от Deleted

Re: Безопасность PHP изнутри

> Как тут говорят - у PHP - проблема в ДНК.

Ххы... Надо подождать, пока пайтон и руби столько же времени на веб проживут. (Я знаю, что пайтон не молодой, но на веб его раньше, кажется, не очень использовали?) Вот и посмотрим сколько у них наберётся проблем. И как справляться будут. :)

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>> что PHP - это акроним, расшифровывающийся, как "PHP: Hypertext Preprocessor". > Потому что, кому-то надо выйти из спячки. И вспомнить, что это уже давно не так.

А тогда как расшифровывается PHP если не так? Возможно вы что-то проспали, но вот официальный сайт говорит что: PHP (recursive acronym for "PHP: Hypertext Preprocessor") http://php.net/manual/en/introduction.php

anonymous ()
Ответ на: Re: Безопасность PHP изнутри от anonymous

Re: Безопасность PHP изнутри

> Возможно вы что-то проспали, но вот официальный сайт говорит что: PHP

Блин. :) Это я с хомпадже перепутал. ;-) Совсем задёргали. ;-))))

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP: раз - и вы изнутри от atrus

Re: Безопасность PHP: раз - и вы изнутри

> А вы не провоцируйтесь. Вставки - это специальный случай, не надо растягивать его на общее. Как говорил мой знакомый, он выяснил, бульон можно есть китайскими палочками, но вот нужно ли.

Дык вот и я про то же, зачем выбирать: есть бульон китайскими палочками или небезопасной ложкой.

> Есть smarty, есть другие.

Есть чудесный ucw, да. Там continuations например. А в пхп когда будут, если даже объекты только-только доделали и глобалсы убрали?

>> Я удивлён тем, что несмотря на это пхп распространён так сильно. Хм, прямо как венда.

> Хм... И первое что приходит в голову - уравнять их?

Возможно, уже пора. Ибо, как и венда, пхп из незамысловатого инструмента для дел, на которые что-то более солидное расходовать бессмысленно, вырос в монстра и покусился ИМХО на ту долю, которой недостоин в силу своих собственных недостатков.

> Интересно, за испрользование php идут откаты? Разработчики бомбят всех гет зе факс про пайтон и руби? ;-)

А причём тут откаты? Причём тут широко извесный в ну очень узком кругу геть зе факс? Подавляющее большинство йузает венду не потому, что откаты получило или рекламку почитало?

bugmaker ★★★★☆ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

И что? :) То, что php уже столько лет, а его разработчики всё ещё допускают ошибки и огрехи, которые простительны в младенчестве(что я говорю! Они вообще-то мало где простительны), но совсем не простительны в зрелом возрасте и амбициях.

Deleted ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

> Это _реализация_. Не язык. Я не говорил, что в восторге от реализации. Она медленная и глючноватая.

Другой пока всё равно нету, если я ничего не пропустил.

> Но, как отмечено выше, есть ещё две надежды, что php поживёт и поживёт лучше, чем сейчас.

А оно того стоит? Чем пхп лучше остальных более чем 2000 известных языков и наречий?

bugmaker ★★★★☆ ()
Ответ на: Безопасность PHP изнутри тоже (_!_) от bugmaker

Re: Безопасность PHP изнутри тоже (_!_)

>>> 3. против SQL inj => mysql_real_escaping() против XSS => htmlspecialchars()

>> В точку. Самые популярные топики по версии гугла на тему mysql_real_escape

> это _костыль_. В нормальных средствах разработки не должна быть видна sql-изнанка в каждой строчке кода, а доступ к бд должен осуществляться через модель, причём такую, чтобы её можно было легко выразить средствами языка программирования, а не языка запросов.

Это _костыль_ ровно в той-же степени, как и '\n' для обозначения перевода строки в С и наследниках. У нормальных программистов, в т.ч. и на PHP нет нужды использовать средства типа mysql_real_escape "в каждой строчке кода". Можно использовать самодельные средства, как я когда-то использовал; можно установить DB_DataObject из pear.

А с другой стороны - ну костыль и костыль - а компьютер сам по себе костыль :)

anonymous ()
Ответ на: Re: Безопасность PHP изнутри от pento

Re: Безопасность PHP изнутри

> 3. против SQL inj => mysql_real_escaping()

Да не помогает оно. Только код засырает. Все равно лучше знака вопроса вместо параметров в запросах ничего не придумано. Это уже давно было в перловском модуле для работы с базой и про это тебе говорили выше. Этот же принцип используется в рельсах. Но там еще в придачу есть слой ОРМ, который позволяет в 90% случаев вообще не писать sql-запросы.

Cris ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>Php - это язык

Что в нем хорошего как в _языке_?

>Если так, то он должен иметь МОСК. И понимать как работает его программа, что и для чего он делает.

Мой моск мне подсказывает что проблема должна a) решаться b) решаться там где надо c) решаться один раз и по возможности навсегда.

Хороший инструмент это такой где даже если есть проблема - ее можно a,b,c. Пыху сколько лет в обед? А проблемы все теже.

r ★★★★★ ()

Re: Безопасность PHP изнутри

Интересующимся применением Паскаля в области web-технологий:

Ссылки по PSP http://www.psp.furtopia.org — домашняя страничка.

http://www.sf.net/projects/pascal-webdev — файловый респозиторий на SourceForge.

https://opensvn.csie.org/pspcgi/ — SVN-респозиторий. pascal-webdev-news[на]lists.sourceforge.net — список рассылки.

Ссылки по полезным библиотекам

http://www.ararat.cz — Ararat Synapse - прекрасная объектно ориентированная библиотека для работы по протоколам TCP/IP.

http://www.boutell.com/gd/ — - библиотека для работы с графическими файлами GD.

Некоторые PSP-сайты http://z505.com — портал z505 Ларса Олсона. Содержит множество проектов, связанных с языком Паскаль, Pascal Server Pages (в том числе PasWiki и PasForum), а также множество статей на различные темы ИТ не без доли соли и иронии.

http://www.furtopia.org — дружественная нам хостинговая организация, внутри которой, конечно же, можно найти сервисы на PSP.

http://www.de.freepascal.org/cgi-bin/cgifpcbot?channel=fpc — PSP можно найти также и внутри сообщества Free Pascal.

Corvinus ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>Это _реализация_. Не язык.

Как язык он неинтересен совсем. Что там хорошего есть?

Я рассматриваю PHP как платформу.

r ★★★★★ ()
Ответ на: Re: Безопасность PHP: раз - и вы изнутри от bugmaker

Re: Безопасность PHP: раз - и вы изнутри

> Дык вот и я про то же, зачем выбирать: есть бульон китайскими палочками или небезопасной ложкой.

Опа. Забавный у вас перефраз получился. :) Я ждал, что с палочками сравнят php, а тут как раз предложили есть ими. ;-)

P.S. Применительно к примеру, я считаю, что лучше научиться использовать ложку. ;-)

> А в пхп когда будут

Когда реально понадобятся. Это как с ящиком для инструментов. Красивы и полезны, но не все понастоящему необходимы. Впрочем, это вопрос навыка. Надеюсь, вы не решили, что я агитирую на переход на php? ;-)

> Ибо, как и венда, пхп из незамысловатого инструмента для дел, на которые что-то более солидное расходовать бессмысленно, вырос в монстра и покусился ИМХО на ту долю, которой недостоин в силу своих собственных недостатков.

Ыыыы... :) Я про пайтон ссылки приводил, там тоже ошибки надодят. В т.ч. и в том, что идёт в штатной поставке. К этому добавить то, что изначально он создавался, как язык обучения програмированию и можно смело заменить в вышеприведённом php на него. :) Потом ещё сходить про руби почитать. (Это же студенческая поделка! Тут вообще говорить не про что.) ;-)

Так что надо решать - или мы позволяем вещам расти над собой, превосходя то, чем они были изначально, или нет.

> Подавляющее большинство йузает венду не потому, что откаты получило или рекламку почитало?

Я думал вы вкурсе. 8-() DOS, а затем венду пользуют потому что в период бурного роста рынка PC, M$ активно продвигала эти продукты на новые компы, в основном благодаря OEM версиям. Так что последние лет 20 их системы просто навязывались пользователям PC. А вот кто тогда так же продвигал php?

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от Deleted

Re: Безопасность PHP изнутри

> И что? :) То, что php уже столько лет, а его разработчики всё ещё допускают ошибки и огрехи, которые простительны в младенчестве(что я говорю!

А вот тут я не вкурсе. Какие ошибки и огрехи были внесены в 4-ой и 5-ой версии?

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от bugmaker

Re: Безопасность PHP изнутри

> Другой пока всё равно нету, если я ничего не пропустил.

Нету. Но альтернативно одарённые аналитики ;-) обычно кричат "недоязык", а не "кривая реализация". :)

> А оно того стоит? Чем пхп лучше остальных более чем 2000 известных языков и наречий?

Разумеется. По той же причине, по которой живы fortran и cobol. ;-) Вы будете героически переписывать весь существующий php-код на python или ruby? ;-)

А предвосхищая вопрос: "зачем начинать новые проекты на php"? Отвечу, что за тем же, зачем начинают новые расчётные проекты на fortran, а не на C++.

atrus ★★★★★ ()
Ответ на: Re: Безопасность PHP: раз - и вы изнутри от atrus

Re: Безопасность PHP: раз - и вы изнутри

>А вот кто тогда так же продвигал php?

Ты (вроде ты) к стати сам приводил аргумент - доступность на хостингах - та же самая фигня. Точно то же что mysql vs postgres - постгрес было еще поискать на хостингах, а внекоторых дистрах его не было вообще, а некоторых он то появлялся то исчезал.

Так что таже фигня - PHP сильно пропиарили, народ втянулся в простенький движок дял написания хомепаг со счетсчиками и парой табличек, а потом понеслись немерянные заявки на практически на энтырпрайз. Да только нету в нем ничего для энтерпрайза. Это показывает хотябы отсутсвие переходов на него с серьезных платформ.

r ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от atrus

Re: Безопасность PHP изнутри

>Вы будете героически переписывать весь существующий php-код на python или ruby? ;-)

Это съезд. Приведите хоть одно преймущество пыха перед ну хотя бы javascript.

r ★★★★★ ()
Ответ на: Re: Безопасность PHP изнутри от r

Re: Безопасность PHP изнутри

Perl это не только обработка текстов, хотя он под это заточен.

А вот веб это в первую очередь текст, а уж во вторую графика, флеш, видео, аудио.

tesla ()
Ответ на: Re: Безопасность PHP изнутри тоже (_!_) от anonymous

Re: Безопасность PHP изнутри тоже (_!_)

> Можно использовать самодельные средства, как я когда-то использовал; можно установить DB_DataObject из pear.

А можно и не самописные. :)

http://wiki.cc/php/?title=Object_Relational_Mapping

И для забавы:

http://phponrails.ru/

atrus ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.