И почему не Джумла?:)
...он с любопытством ковырялся в пойманном проклятии, всё ещё колебавшемся на кончике палочки, вытягивал пальцами красные искры и отщёлкивал их в стороны, разбирая заклинание на части, словно детскую игрушку-конструктор...Домен зареган 1 ноября 2013 ( Read more... )
Comments 36
Дыру-то можно оставить в чем угодно, и практически в любом скриптовом языке (т.е. в языке, в котором есть штатный eval, совмещенный с read), оставить ее - раз плюнуть.
Ну, если eval внешних данных применяется в самой платформе, то это, конечно, однозначный крест на платформе. Если в типичном применении - неоднозначный, но тоже крест...
А так-то я такую дыру могу даже на хаскеле оставить. На хаскеле, правда, специально постараться придется...
Reply
Причём для Джумлы, по моим наблюдениям, "порог вхождения" получается минимальным. Все прочие массовые CMS (Друпал, Битрикс, Wordpress) в настоящее время требуют от уеб-мастера хотя бы чуть чуть более сложных умственных усилий для получения того же результата. Джумловоды-идиоты периодически меня поражают в пятку.
2. Для этого продукта характерна жуткая мешанина файлов всех типов по многим каталогам, не позволяющая применить хотя бы жёсткое разбиение на "тут код может что-то писать, но записанное не будет в дальнейшем ниоткуда исполнено/инклюднуто/eval-нуто" и на "тут лежит только код, и каталоги и сам код в RO". Количество +w на подкаталогах безобразно велико.
Reply
Reply
Нет, с ним все гораздо лучше, вроде как всего три дерева директорий надо обработать chown и chmod, но тоже, в общем, тонкая работа. При том, что я живу под линуксом, а не под виндой, и в юниксовой системе прав на файлы разбираюсь куда лучше, чем типичный веб-программист. В смысле, не в общих чертах, а в деталях...
Reply
Leave a comment