Błędy popełniane przez programistów.

[galaxyy]

Witam serdecznie

Mam kilka pytań w związku z tematem który się ostatnio pojawił na forum, klik.

Jakie są błędy najczęsciej popełniane przez twórców (hmmm programistów) stron / aplikacji sieciowych (CMSy i inne systemy zarządzania).

Chodzi mi głównie o bezpieczeństwo, wydajność i rozbudowe serwisu.

Proszę nie umieszczać linków, które w prosty sposób można znaleźć, tylko odpowiedzi na podstawie własnych doświadczeń.

Pozdrawiam.

[Mar_Dal]

Niezabezpieczanie formularzy/zbyt łatwy dostęp do PA

O kolega chyba ostatnio miał inny nick i czy przypadkiem nie dostał bana za spamik ?

[wolny]

dokładnie dostał bana(na).

wracając do tematu

to bałagan w napisanym kodzie

[Łukasz Gugała]

@dyszka - czyste chamstwo.

[Mar_Dal]

Zaraz dostaniesz drugiego banana

[Łukasz Gugała]

Chyba czwartego - nie wiem czy dobrze liczę te konta

[BlackSEO]

@dyszka - nie wyżywaj się na forach, może kiedyś też będziesz miał upragnione 19 cm

[Seoasystent]

Niezabezpieczanie formularzy/zbyt łatwy dostęp do PA

I za to lubię wordpress, darmowy kod do Aksio i masa pluginów captcha, w wersji 2.9 dostęp do PA został poprawiony + ew. pluginy dodatkowo to modernizujące.

Dobre szablony CMS niestety często mają footer przepełniony linkami. Link odsprzedawane są przez twórcę owego szablonu na różnych forach. Wykupienie możliwości edycji zakodwanej stopki, to koszt minimum 20$. Ostatnio wyszedł news, rewelacja, o której większość osób od dawna wiedziało, mianowicie ukrywanie w zakodowanych znakach, kodu odpowiadającego za przesyłanie informacji o odwiedzających do twórcy danego templata. Zawsze dekoduj.

[Erbit]

Zaraz dostaniesz drugiego banana

Już.

[buhabuha]

największa wtopa za jaką się spotkałem w cmsie napisanym w php polegała na tym, że przy logowaniu do panelu admina...... nie było sprawdzania uprawnień tylko login i hasło. uprawnienia były zapisane w db w kolumnie "isadmin" (true/false) a w logowaniu tylko check czy hasło (md5) i login sie zgadzają. jednym słowem query przy logowaniu nie uwzględniało where 'isadmin' = true.

cms ten jest płatny, do obsługi... hmmm pewnej niszy

efekt był taki, że jakikolwiek user, który się zarejestrował o ile znał ścieżkę do panelu mógł się zalogować z pełnymi prawami admina.... większość właścicieli serwisów na tym skrypcie pojęcia o tym nie miało/ma. ścieżki do panelu nie są pozmieniane a luka nie usunięta. w PL znam kilka takich sajtów, zagramanicą kilkaset.....

żeby było śmieszniej, to do tych kilku w pl wysłałem nawet maila z info, że nie teges i jak chcą to im usunę lukę w zabezpieczeniach... ale jakoś się nie odzywali...

proste linki do zdobycia

a przy tworzeniu customów to zazwyczaj i tak korzystam z frameworka n.p CI lub czegoś co ma już na pokładzie klasę do xss filtering - nie ma co samemu odkrywać ameryki.

[slawek22]

Poza oczywistymi... castowanie typów na typy nieodpowiednie do zadania. Na przykład ostatnio gość zrobił w projekcie (float) z user_id facebooka, a że to były duże liczby to gdyby poszło na produkcję to by się sypnęła cała baza, bo przy takich wartościach po zmianie typu było +/- 2 przed przecinkiem. Oczywiście było by w porządku, gdyby nie kombinował. Chyba największy błąd to utrudnianie sobie życia i kombinowanie, żeby zastąpić czymś innym coś co doskonale działa.

Podchodzi pod to też stosowanie rozmaitych "porad" optymalizacyjnych z idiotycznych tutoriali:

- zmiana <br> => <br />

- zmiana cudzysłowów podwójnych na pojedyncze i robienie sieczki z kropkami

- stosowanie AJAXowo / JSowych wynalazków zamiast wyświetlania normalnych kontrolek (nic, że to się sypie ... pod chrome działa i w gazecie napisali, że ładnie wygląda, więc należy stosować)

- próby stosowania niedokończonych, zepsutych albo niedziałających specyfikacji, bo w gazecie dziennikarz który nie odróżnia X od HTML-a stwierdził, że fajnie kulki można w tym animować (całe HTML5, z websockets, canvasem i innymi bzdetami)

[Radeq]

- zmiana cudzysłowów podwójnych na pojedyncze i robienie sieczki z kropkami

Mógłbyś poprzeć jakimiś argumentami lub odwołaniami do artykułów?

[parasol]

@BoRo

logowanie się na fora z jednego ip pod "przykrywką", by zobaczyć co się dzieje z postem.

[slawek22]

@Radeq: napisz string z paroma zmiennymi:

1. "zzz {$a} yyy {$b} zzz {c}"

2. 'zzz '.$a.' yyy '.$b.' zzz '.$c

Teraz się połap które cudzysłowy są od czego i spróbuj oba edytować. Przykład 1 CTRL+C / CTRL+V - wycinasz bloki bo wszystko jest czytelne i proste w edycji. Przykład drugi - musisz edytować ręcznie i się zastanawiać.

'zzz '.$a.$b.'c'.$b.' zzz '.$c

Wygląda czytelnie? Uniknięcie zawałów i śmiertelnych "wypadków" w pracy, jest warte spadku wydajności o 0,00000001%

[Mion]

Jakie są błędy najczęsciej popełniane przez twórców (hmmm programistów) stron / aplikacji sieciowych (CMSy i inne systemy zarządzania).

Temat jest bardzo szeroki i zależy od języka programowanie, bo inne błędy będą popełniane w PHP, a inne w C++, Java wynikłe ze specyfikacji danego języka i trudno tutaj mówić o typowych błędach. Do tego dochodzą jeszcze błędy w projektowaniu bazy danych związane z wydajnością zapytań itd...