ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] mod_php + mod_include

On Mon, 17 May 1999, Stanislav Malyshev a.k.a Frodo wrote:

> From: Stanislav Malyshev a.k.a Frodo <frodo@sharat.co.il>
> Subject: Re: [apache-talk] mod_php + mod_include
> 
> VBW>> > А чем собссно PHP неприличен? Или это просто чтобы флеймер
> VBW>> не ржавел? :) Тем что его нельзя использовать, ну например для
> VBW>> написания скрипта ротации логов. Поэтому, если можно для
> 
> Поспорим что можно? :) Все функции работы с файловой системой есть, чего
> еще надо? Зачем делать ротацию логов из скрипта, не совсем ясно, правда.
> По-моему, ее из крона лучше делать. :)

О том и речь - на tcl, perl, scheme, python можно писать и скрипты,
выполняемые из cron и скрипты, встраиваемые в web-страницы. А на php -
только последние. 

> VBW>> скриптинга внутри web страниц использовать тот же язык, что и
> VBW>> для других целей, то лучше это делать, даже если это обойдется
> VBW>> в лишнюю пару симмов воткнутых в сервер. Симмы нынче дешевы.
> 
> Ну тут наши воззрения резко противоположны. Я считаю, что нужно
> использовать инструмент, *наиболее* приспособленный к данной конкретной
> задаче. Т.е. бриться бритвой, хлеб резать ножом, дрова рубить топором,
> оперировать скальпелем, вырезать ножницами, отпиливать пилой. Хотя, в
> принципе, одного топора на все это хватит :) 

Известно, что одним топором и без единого гвоздя создано немало шедевров
деревянного зодчества. А лично я вообще предпочитаю все скрипты держать
в месте, недоступном товарищам, редактирующим web-страницы, предоставляе
им конкретные Perl-SSI процедуры или вообще скрипты.

> 
> А то по-другому, боюсь, симмов не оберешься. Знаем мы этих
> симмохватальщиков - одна программа в Hello World занимает 800К+, а
> документ из 2 строк - 100К+. Но зато этот документ умеет играть музыку и
> разносить вирусы :)
> 
> VBW>> Вообще, когда-то еще во времена PHP-2 я убедился в том что php это 
> VBW>> big gapping security hole из-за того, что клиент может 
>проинициализировать
> VBW>> любую переменную чем он захочет.
> 
> А доки почитать? :) А не закладываться на значения, находящиеся под
> контролем пользователя? Это бы и в Перле полезно, во избежание, и в других

Вопрос в том, где проходит граница между вещами ради которых стоит тратить 
свои мозги и вещами ради которых стоит потратить память сервера.
perl в taint mode дает мне достаточную уверенность в том, что если я
допущу какую-нибудь глупость в смысле безопасности, за руку меня схватит
интерпретатор при первой же попытке ее запустить, а не злобный хакер два
месяца спустя. php мне такой гарантии не дает.


--------------------------------------------------
Victor Wagner                   vitus@ice.ru
Programmer                      Office:7-(095)-964-0380
Institute for Commerce          Home: 7-(095)-135-46-61
Engineering                     http://www.ice.ru/~vitus

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

 



Copyright © Lexa Software, 1996-2009.