> Я - не поверю. Я вообще сказкам давно не верю. И рекламе. Просьба аргументированно объяснить и показать на примере кода, почему в java такое невозможно даже теоретически.

Потому, что в скриптовых языках a la PHP и Perl для выполнения большинства операций принято запускать внешние программы. Если "вклиниться" в этот запуск, то получишь возможность исполнять любые программы. Shell в том числе.

А в Java практически все операции выполняются силами своих библиотек. Как ты в этом случае сможешь получить доступ к shell - непонятно.

> Не проблема; только учти, что мое рабочее время оценивается от $1900

> за месяц разработки. За "просто так" пусть пишут красноглазые.

ну я думаю при такой зарплате и умения с навыками должны быть соответственные . за выходные , думаю , тебе не соствит труда написать лучше . нет ? сделай нам красноглазым подарок , о , Гуру . и Мир тебя возблагодарит стократно . покажи нам всем какой ты мастер (а то чесать языком все могут) . Xwine

Что выбирает поколение некст для поднятия форумов? Может, есть какие более надежные и не менее функциональные форумы на РНР чем phpBB?

> А в Java практически все операции выполняются силами своих библиотек.
Как ты в этом случае сможешь получить доступ к shell - непонятно.

Практически, да не все. Что скажешь на это:

String []comm=new String[]{"sh", "-c", "sudo", "root"};
runtime.exec(comm);

> в скриптовых языках a la PHP и Perl для выполнения большинства
операций принято запускать внешние программы.

Кем принято? Что за чушь? Возможность запускать внешние программы есть.
Покажи язык, в котором их нет... И есть возможность их запретить через
конфиг. А вот это уже далеко не во всех языках возможно. Так что мой
вывод: php - образец гибкости и секьюрности. В кривых руках ножом легко
порезаться. В прямых им можно вырезать произведения искусства!

>ну я думаю при такой зарплате и умения с навыками должны быть соответственные . за выходные , думаю , тебе не соствит труда написать лучше . нет ? сделай нам красноглазым подарок , о , Гуру . и Мир тебя возблагодарит стократно . покажи нам всем какой ты мастер (а то чесать языком все могут) .

Не составит никакого труда. Но не за два дня, а минимум за две недели. Стоиммость подобного продукта я очениваю в $800 и выше, в зависимости от ТЗ. Мой ICQ 727977, стучите, договоримся о стоимости, сроках и функциональности. Предоплата 40%; торг не уместен.

> большинства операций принято запускать внешние программы

Вы бредите. Потрудитесь проанализировать код того же PHPbb.

И расскажите аудитории о том, сколько раз запускаются внешние программы. Я Вас очень прошу, комментируйте с указанием имени файла и строки.

-- Я НЕ защишаю PHPbb. Более того, я совершенно уверен в том, что PHPbb - отвратительно написанный проект. Однако это не означает того, что PHP / Perl / etc заранее хуже той же Джавы. Более того: сулить относительно всего языка на примере одного программного продукта - признак крайней ограниченности ума.

> Выдумки. Только что проверил -- ничего подобного Гугл не пишет, а выдаёт результаты запроса.

Попробуй перейти на вторую страницу с результатами запроса. Например: http://www.google.ru/search?q=powered+by+phpbb&num=20&start=20

>Не составит никакого труда. Но не за два дня, а минимум за две недели.
>Стоиммость подобного продукта я очениваю в $800 и выше, в зависимости
>от ТЗ. Мой ICQ 727977, стучите, договоримся о стоимости, сроках и
>функциональности. Предоплата 40%; торг не уместен.

а как же помощь красноглазым ? неужто нам всегда мучаться и страдать под гнётом phpBB ? подарок "голодающим" красноглазикам оказался фарсом ? а как же чуйство альтруизма и бескорыстия ? неужто незнакомо ?
ты сари , что деньги с ч-ком делают !!!!!
непонятно за что бедные красноглазики должны предоплачивать более 300 долларов . то ли на опохмел "девелоперу" ( но это сколько выпить надо ж ) , то ли на его обучение "форумоваяния" . потому как деньги платят . и платить кому ? ч-ку без послужного списка (по крайней мере его не видел никто) ? за хорошо живёшь ?
красноглазики . та шо цэ такэ робытЬся ??? красноглазик обкрадывает красноглазиков !

>а как же помощь красноглазым ?

Бог подаст.

>неужто нам всегда мучаться и страдать под гнётом phpBB ?

Не хотите мучаться - пишите сами себе софт. Не можете написать - покупайте.

>подарок "голодающим" красноглазикам оказался фарсом ?

Никто не обещал никаких подарков. Утверждалось только, что PHPbb - отстой.

>ч-ку без послужного списка (по крайней мере его не видел никто) ?

Мальчик, соизволь включить мозги и посмотри ICQ User Info, ага?

> красноглазик обкрадывает красноглазиков !

За словами следи. Тебя никто не обкрадывал.

>Не хотите мучаться - пишите сами себе софт. Не можете написать - покупайте.

интересно зачем покупать ? зачем платить ? за якобы безглючный , более лучший (чем лучший? это из серии армяне лучше чем грузины? ) софт ?

>Никто не обещал никаких подарков. Утверждалось только, что PHPbb - отстой.

-армяне лучше чем грузины . -ну чем ? чем они лучше ? -чем грузины .

>Мальчик, соизволь включить мозги и посмотри ICQ User Info, ага?

дедушка , ты уж прости красноглазика , но верить тому что написано на заборе ...

>За словами следи. Тебя никто не обкрадывал.

та не нёрвничай ты так :)

>интересно зачем покупать ? зачем платить ? за якобы безглючный , более лучший (чем лучший? это из серии армяне лучше чем грузины? ) софт ?

Постарайся осознать, что тебе написали (если не понял с первого раза - перечитай еще раз):

Не хотите мучаться - _пишите_сами_себе_софт_; _не_можете_написать_-_покупайте.

>армяне лучше чем грузины . -ну чем ? чем они лучше ? -чем грузины .

Кто здесь? :) Нравится PHPbb - юзай. Это _твое_ право, красноглазый, раз в два месяца патчить в нем критические баги. Пойми, что тебя никто не заставляет никому ни платить, ни писать самому, ни даже ставить другой софт.

>дедушка , ты уж прости красноглазика , но верить тому что написано на заборе ..

Да никто тебя не заставляет. Дался ты кому...

>та не нёрвничай ты так :)

Да я таки-да спокоен, как танк.

А ты не грозись написать, а напиши и затем покажи работающий форум. Потом посмотрим, кто захочет заплатить тебе, а не кому-то другому.

>Я - не поверю. Я вообще сказкам давно не верю. И рекламе. Просьба аргументированно объяснить и показать на примере кода, почему в java такое невозможно даже теоретически.

Очень просто. Там модель построения веб-приложений немножко иная. Для того, чтобы запустить шелл-команду надо это выразить _явно_ (а если ты явно делаешь возможным запуск любой шелл команды, принятой от юзера, то это уже не ошибка, а клиника). Более того, сервер приложений может тебе и не позволить этого сделать.

То же самое с SQL запросами, если ты следуешь некоторым правилам (не формируешь SQL-запросы вручную, а пользуешься параметрами), то напортачить в БД гораздо сложнее.

>Наверное потому, что там это невозможно сделать? И с какого хера, извините, вы называете возможность выполнение shell-команд ошибкой&!

Я не называл. Я имел ввиду подобную описку. Заметь, эти описки возникают _постоянно_. Надо что-то менять в датском королевстве.

И не надо про кривые руки - усилителя интеллекта на всех не хватит :) Плюс есть такие факторы как усталость, невнимательность, и.т.д. И в таких вещах хочется чтобы была некоторая страховка - ты же не полезешь на ледник без страховки? Вот и я не хочу - я предпочту пару лишних строк кода (в разумных пределах, конечно) для выражения _потенциально опасного действия_ (коим является выполнение формируемого руками SQL или вызов внешнего приложения с параметрами, формируемыми на основании запроса), чем возможность написать это на пару строк короче и возможность некисло залететь.

> Ага, как миф о том, что только C подвержен переполнению буфера... Скажу так - или нет абилки, или есть. А в кривых руках и не такое бывает...

Подвержены-то многие, вот только стоимость ошибки разная.

Ага, давай сделаем так, чтобы в случае UB в C++ программа стирала все с винта. Вот зашибись будет! :)

>Не эксплуатируется лишь потому, что java-приложений для веба ничтожно мало.

Видимо, они больше корпоративные.

>Сайты hp, sun - это хорошо, но слишком бледно на общем фоне. LOR - глючное и тормозное пионерское поделие, и вообще в расчёт не принимается.

Правда? По-моему, вполне сносно работает. Я почему-то на 100% уверен (надеюсь, что создатель не клинический идиот :) ), что проблем с эскейпингом в нем нет.

>По качеству ничем не лучше phpBB. С таким же успехом его можно было написать на бэйсике или на баше. Итак, кто может грамотно доказать невозможность подобных эксплойтов в java?

Я знаю один портал на Java, написанный такими кривыми руками, что если бы он был написан на PHP то он бы не работал 7x24. :)

Хотя, это клиника, конечно.

> String []comm=new String[]{"sh", "-c", "sudo", "root"};
> runtime.exec(comm);

Скажу, что потребности в такой колбасе нет.

>А ты не грозись написать, а напиши и затем покажи работающий форум. Потом посмотрим, кто захочет заплатить тебе, а не кому-то другому.

Утром деньги, вечером - стулья. Вечером деньги, утром - стулья. Можно наоборот, но деньги вперед.

> Утром деньги, вечером - стулья. Вечером деньги, утром - стулья. Можно наоборот, но деньги вперед.

Было бы много предложений "денег вперед", не трепался бы на лоре :)

> > А ты не грозись написать, а напиши и затем покажи работающий форум.
> > Потом посмотрим, кто захочет заплатить тебе, а не кому-то другому. 
>
> Утром деньги, вечером - стулья. Вечером деньги, утром - стулья. Можно наоборот, но деньги вперед.

Какие стулья? Речь шла о том, что-бы ты показал рабтающий форум, а не его код. Или ты надеешся, что тебе кто-то заплатит
не увидив как твоё поделие работает? :-)

>Или ты надеешся, что тебе кто-то заплатит не увидив как твоё поделие работает? :-)

Для тупых: сначала ТЗ, затем ТЭО, потом - девелопмент. Оплата за каждый этап разработки отдельно. Если ты работаешь иначе, это твои половые трудности.

P.S. Выучи русский язык. Убог ты и нелитературен.

Да ладно - слив и так засчитан!

Мальчик, с такими запросами да под такой проект ты можешь только грозиться что-то написать, но никогда не напишешь. Собственно на это ты и расчитывал с самого начала, ибо болтун.

safe mode в php, и всё нормально :)

>Мальчик, с такими запросами да под такой проект ты можешь только грозиться что-то написать, но никогда не напишешь. Собственно на это ты и расчитывал с самого начала, ибо болтун.

Мальчик, не тебе рассуждать о запросах. Андестенд? Ты мой код видел? Нет? Свободен.

> вперёд . напиши лучше уже и давно

disable_functions = system,phpinfo,getrusage,getmypid,getmyuid,getmygid,getmyinode, get_cfg_var,phpcredits,ini_get,ini_alter,exec,passthru,mail

и можете забыть о большей части эксплойтов

>Может, есть какие более надежные и не менее функциональные форумы на РНР чем phpBB?

Бесплатный - punBB

Коммерческие - iPB и vB

Я пока не видел написанный тобой форум, за который кто-то согласился отдать хотя бы рубль. Так что о своей крутизне ты здесь можешь писать сколько угодно, как на стенах туалетов. Разницы не будет никакой, ибо ты просто болтун.

> > вперёд . напиши лучше
>
> уже и давно

И где на это можно посмотреть в действии?

Ага, он самый настоящий болтун, он знает что никто ему никаких денег не заплатит и что писать ничего не приидется, и на это сообственно расчет, поэтому он просто болтает. Как тут сказали уже, ибо просто болтун :))

>Я пока не видел написанный тобой форум, за который кто-то согласился отдать хотя бы рубль. Так что о своей крутизне ты здесь можешь писать сколько угодно, как на стенах туалетов. Разницы не будет никакой, ибо ты просто болтун.

Ох, и убог же ты.... Ну полное отсутствие мыслительных способностей.

Еще раз: тебе (да и никому вообще) я ничего доказывать не собираюсь. Мое рабочее время стоит слишком дорого для того, чтобы каждому карноглазому кретину "на раз-два" писать софт. Для тупых: за "просто так" и за "слабО" пусть работает трактор.

Касаемо "просто болтун": на себя помотри, ага?

Ну никто конечно не спорит что на халяву работать не стоит, но и ты с другой стороны прекрасно знаешь что никто тебе не заплатит 800 доларов и на это делаешь расчет. Поэтому человек и сказал что ты просто болтун, и я не думаю что он далек от правды. При этом ты можешь быть реально хорошим спецом своего дела + всеровно оставаться болтуном :)))

Было бы твое время дорого, ты бы на нас его не тратил :))

> Но не за два дня, а минимум за две недели. Стоиммость подобного
продукта я очениваю в $800 и выше

Производительность более чем посредственная, а цена сильно завышена.
Таких программеров на рынке не просто много, а завались.

>> runtime.exec(comm);
> Скажу, что потребности в такой колбасе нет.

Для хакера - есть ;-)

> Бесплатный - punBB

После перевода на utf-8 данный форум в русскоязычной среде не юзабелен.

>Зависит от того, настолько ли админ недоумок, чтобы на хосте дать Apache доступ к шелу. У меня вот просто выключен в принципе. Ибо реально нужен очень нечасто.

Подумай, что сказал =)

Тебе ужё не только я говорю, что ты обыкновенный болтун. Так что лучше остынь и пойди займись чем-то более полезным.

> Для хакера - есть ;-)

Т.е. хакеры проникают в компании, разрабатывающие сервера на java, и вставляют в код вызовы exec? ;)

Как страшно жить.

не. они вставляют execve

>Как страшно жить

терпи

>> Бесплатный - punBB

>После перевода на utf-8 данный форум в русскоязычной среде не юзабелен.

Как раз только после этого - и юзабелен :D

конкурс на наиболее полный и интересный взлом через дыру в phpBB

http://www.linux.org.ru/view-message.jsp?msgid=983163

форум надо ломать вот этот: http://www.rostov-gorod.ru/phpBB2/viewtopic.php?t=1308

эксплойт здесь: http://www.xakep.ru/post/27186/exploit.txt

проверено - форум дырявый. gcc там нету :(

предлагаю конкурс по взлому этой машины!

> Как раз только после этого - и юзабелен :D

попробуй вести длинный топик по-русски.

>> Как раз только после этого - и юзабелен :D

>попробуй вести длинный топик по-русски.

И что? Два десятка форумов, никаких проблем. Естественно, всё по-русски.