Php kods datubāzē un eval.

[Maris-S]

Te man pacēlās jautājums par php koda glabāšanu datubāzē. Principā maziem koda gabaliem it kā varētu viss būt normāli, tomēr doma ir tāda ka rezultātā jāsanāk cms sistēmai, kas varētu tikt labota no web saita, ieskaitot php kodu. Vārdu sakot viss saits ir datubāzē. Šitāda doma man liekās pārāk aizdomīga un tāda nojauta ka kaut kas noies greizi, bet nezinu kas tieši tur varētu nesanākt un būt tas kritiskākais. Varbūt kāds ir mēģinājis tādus brīnumus taisīt un var padalīties pieredzē?

[Faks]

ja nau skibas rokas tad nekadu problemu nebus !

[andrisp]

Vārdu sakot viss saits ir datubāzē.

 

100% visu kodu datubāzē nemaz dabūt iekšā nevarēsi. ;)

 

Enīvei, problēmas būs neizbēgami. Gan ātrdarbība cietīs, gan drošība.

[Faks]

drosibu vienmer var piekodet klat ta nau ta problema kuru nevar izlabot :)

a atruma zina vajag kartigu kasti vai vienkarsak liekot uz linux vai unix un tur lidos ka putns :) !

[andrisp]

Kā tas izpaužās "piekodēt klāt drošību" ? Kā tu cīnīsies ar to, ja kādam ļaunam hakzoram izdosies piekļūt tavai db un respektīvi viņš varēs izpildīt prakstiski jebkādu kodu uz tava servera līdz ar to ?

 

a atruma zina vajag kartigu kasti vai vienkarsak liekot uz linux vai unix un tur lidos ka putns :) !

Tad tavu prāt koda optimizācija vispār ir kaut kas nevajadzīgs ?

 

Un par to linux/unix man liekas vispār nepamatots arguments. Tipa linux rulz, windows must die ?

Edited April 17, 2008 by andrisp

[martins256]

Ātrdarbībai vajag izveidot jauku, mīļu cache sistēmu.

[Faks]

nu martins ari teica pareizu varijantu :) !

galvenais ir sedet stundas visu studet lidz kamer visu iestude savadak to nevar iemacities no divam frazem :) !

[andrisp]

Faks, tā tu man arī neatbildēji.

[Faks]

ja pareizi taisa liela masiva lapu tad vinams liek uz unix vai linux !

pacik windows pie lielam slodzem sak overload buffer raut un utt :) !

[andrisp]

Riņķī un apkārt...

[bubu]

Kas ir "overload buffer" ?

[marrtins]

Nu kā - tas ir tā, ka čalis kauko i dzirdējis, bet taga sprauslā par baigo kompetentu.

 

Kods datubāzē - tas ir uzturēšanas murgs. Vajadzēs šo un to pamainīt, krāsiņu, platumiņu - vēl tā, bet piekodēt/pārtaisīt kādu lielāku fīču... Caur phpMyAdmin? :D

[mounkuls]

Visu CMS man liekas baigi sarežģīti būs.

Esmu taisijis ka lapu saturu glabā bāzē, tādu kā konstruktoru lapas veidošanai, bet php kodu bāzē gan neglabāju.

Bet man tikai WAP lapu WML bija jāglabā, tur jau maz.

PHP bāzē man kautkā nelikās prātīgi.

[Aleksejs]

Nu, tad arī manas pārdomas par šo tēmu (in no particular order ;) ):

* Drošību nevar piekodēt kaut kad pēc tam. Pēc tam var tikai lāpīt caurumus. Ja drošības prasības izvirza jau sākumā, tad pēc tam ir daudz vieglāka dzīve.

* Principā neatkarīgi no glabāšanas vides vislabāk ir, ja dati un izpildāmais kods glabājas nodalīti, tātad šajā gadījumā dažādās datubāzēs kurām ir pieejas tiesības atšķirīgiem lietotājiem

* eval izmantošana pieprasa server-side-code-injection nepieļaušanas funkcionalitātes izstrādi. Pie kam tādā apjomā, kas ir par vairākām kārtām lielāks par failu gadījumu.

* Ar failiem parasti dara tā, ka izpildāmie faili (php) tiek likti ar read-only tiesībām web-lietotājam, pie kam bez iespējas piekļūstot caur web pārslēgties uz citu lietotāju. DB gadījumā, faktiski var uzskatīt, ka izpildāmais kods web lietotājam ir read-write režīmā, bet write funkcionalitātes ierobežošana paliek kodētāja rokās

* atgriežoties pie eval izmantošanas... Ir samērā daudz kvalitatīvu gatavu bibliotēku, kas ierobežo SQL injekcijas, XSS injekcijas, taču daudz mazāk (patiesībā nezinu nevienu, taču pieļauju, ka ir), kas novērš php injekcijas

 

Resume: Darīt tā var, taču tas būs sarežģīti. Tādēļ jāskatās, kāds šādai pieejai ir pamatojums.