Skocz do zawartości

Błędy popełniane przez programistów.


galaxyy

Rekomendowane odpowiedzi

Witam serdecznie :D

Mam kilka pytań w związku z tematem który się ostatnio pojawił na forum, klik.

Jakie są błędy najczęsciej popełniane przez twórców (hmmm programistów) stron / aplikacji sieciowych (CMSy i inne systemy zarządzania).

Chodzi mi głównie o bezpieczeństwo, wydajność i rozbudowe serwisu.

Proszę nie umieszczać linków, które w prosty sposób można znaleźć, tylko odpowiedzi na podstawie własnych doświadczeń.

Pozdrawiam.

Odnośnik do komentarza
Udostępnij na innych stronach

Niezabezpieczanie formularzy/zbyt łatwy dostęp do PA

I za to lubię wordpress, darmowy kod do Aksio i masa pluginów captcha, w wersji 2.9 dostęp do PA został poprawiony + ew. pluginy dodatkowo to modernizujące.

Dobre szablony CMS niestety często mają footer przepełniony linkami. Link odsprzedawane są przez twórcę owego szablonu na różnych forach. Wykupienie możliwości edycji zakodwanej stopki, to koszt minimum 20$. Ostatnio wyszedł news, rewelacja, o której większość osób od dawna wiedziało, mianowicie ukrywanie w zakodowanych znakach, kodu odpowiadającego za przesyłanie informacji o odwiedzających do twórcy danego templata. Zawsze dekoduj.

Zapraszam do publikacji wpisów w naszym katalogu przeznaczonym do promocji wartościowych stron: katalog firm. Dodatkowe informacje o darmowych katalogach stron znajdziesz w naszym forum SEO.

Odnośnik do komentarza
Udostępnij na innych stronach

największa wtopa za jaką się spotkałem w cmsie napisanym w php polegała na tym, że przy logowaniu do panelu admina...... nie było sprawdzania uprawnień tylko login i hasło. uprawnienia były zapisane w db w kolumnie "isadmin" (true/false) a w logowaniu tylko check czy hasło (md5) i login sie zgadzają. jednym słowem query przy logowaniu nie uwzględniało where 'isadmin' = true.

cms ten jest płatny, do obsługi... hmmm pewnej niszy :)

efekt był taki, że jakikolwiek user, który się zarejestrował o ile znał ścieżkę do panelu mógł się zalogować z pełnymi prawami admina.... większość właścicieli serwisów na tym skrypcie pojęcia o tym nie miało/ma. ścieżki do panelu nie są pozmieniane a luka nie usunięta. w PL znam kilka takich sajtów, zagramanicą kilkaset.....

żeby było śmieszniej, to do tych kilku w pl wysłałem nawet maila z info, że nie teges i jak chcą to im usunę lukę w zabezpieczeniach... ale jakoś się nie odzywali...

proste linki do zdobycia :D

a przy tworzeniu customów to zazwyczaj i tak korzystam z frameworka n.p CI lub czegoś co ma już na pokładzie klasę do xss filtering - nie ma co samemu odkrywać ameryki.

Odnośnik do komentarza
Udostępnij na innych stronach

Poza oczywistymi... castowanie typów na typy nieodpowiednie do zadania. Na przykład ostatnio gość zrobił w projekcie (float) z user_id facebooka, a że to były duże liczby to gdyby poszło na produkcję to by się sypnęła cała baza, bo przy takich wartościach po zmianie typu było +/- 2 przed przecinkiem. Oczywiście było by w porządku, gdyby nie kombinował. Chyba największy błąd to utrudnianie sobie życia i kombinowanie, żeby zastąpić czymś innym coś co doskonale działa.

Podchodzi pod to też stosowanie rozmaitych "porad" optymalizacyjnych z idiotycznych tutoriali:

- zmiana <br> => <br />

- zmiana cudzysłowów podwójnych na pojedyncze i robienie sieczki z kropkami

- stosowanie AJAXowo / JSowych wynalazków zamiast wyświetlania normalnych kontrolek (nic, że to się sypie ... pod chrome działa i w gazecie napisali, że ładnie wygląda, więc należy stosować)

- próby stosowania niedokończonych, zepsutych albo niedziałających specyfikacji, bo w gazecie dziennikarz który nie odróżnia X od HTML-a stwierdził, że fajnie kulki można w tym animować (całe HTML5, z websockets, canvasem i innymi bzdetami)

Odnośnik do komentarza
Udostępnij na innych stronach

@Radeq: napisz string z paroma zmiennymi:

1. "zzz {$a} yyy {$b} zzz {c}"

2. 'zzz '.$a.' yyy '.$b.' zzz '.$c

Teraz się połap które cudzysłowy są od czego i spróbuj oba edytować. Przykład 1 CTRL+C / CTRL+V - wycinasz bloki bo wszystko jest czytelne i proste w edycji. Przykład drugi - musisz edytować ręcznie i się zastanawiać.

'zzz '.$a.$b.'c'.$b.' zzz '.$c

Wygląda czytelnie? :D Uniknięcie zawałów i śmiertelnych "wypadków" w pracy, jest warte spadku wydajności o 0,00000001% :(

Odnośnik do komentarza
Udostępnij na innych stronach

Jakie są błędy najczęsciej popełniane przez twórców (hmmm programistów) stron / aplikacji sieciowych (CMSy i inne systemy zarządzania).
Temat jest bardzo szeroki i zależy od języka programowanie, bo inne błędy będą popełniane w PHP, a inne w C++, Java wynikłe ze specyfikacji danego języka i trudno tutaj mówić o typowych błędach. Do tego dochodzą jeszcze błędy w projektowaniu bazy danych związane z wydajnością zapytań itd...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności