SecureBlog

Дата: 03.05.2008, Категория: Мысли

Вчера в универе попалась мне в руки книга М. Кузнецова "PHP 5. Практика разработки Web-сайта". Решил полистать. Просматривая страницу за страницей, не нашел для себя ничего нового...

Решил посмотреть прилагаемой к ней диск с исходными кодами приложений, описанных в самой книге.
Первое что попалось на глаза, это их "CMS". Запустил апач, установил скрипт на локалхост. Открыв сайт в браузере и внешне осмотрев его, честно говоря был в шоке...

Нашел уязвимость sql-injection в разделе "Галерея". Возможно, там присутствуют и другие уязвимости, но, честно говоря, после этого даже не стал осматривать движок дальше, ибо смысла не было узнавать для себя что-то новое. Стало даже немного обидно за то, какая некачественная литература печатается у нас в стране.

Как человек, который не может грамотно писать и защищать свои приложения должным образом, может писать книги о практике разработки на php? Куда смотрят люди, которые выдают книгу на печать?
А потом спрашивается, почему наши программисты пишут дырявый код, повлекший за собой многочисленные взломы. Трудно представить, сколько людей учится на таких книгах, трудно представить о том, сколько в сети скриптов, написанных по технологиям, описаным в этой книге...

Стыдно, товарищи :(

Если уж берутся open source программисты за разработку какого-либо продукта, должны подходить к этому делу с умом.
Я, конечно, понимаю, что за разработку им никто не платит при отсутствии спонсоров, но все же, многие используют эти продукты на своих сайтах, тем самым подвергая опасности какую-либо важную информацию. Коммерческие разработчики и веб-студии так же не отстают.
В своей практике часто встречал коммерческие скрипты, качество написания которых было совсем не на том уровне...
Если уж вы собрались продавать свой продукт, позаботьтесь о том, чтобы качество этого продукта соответствовало его цене.
Это мое ИМХО, и думаю, со мной многие будут согласны.

p.s. на сайте авторов книги тоже есть уязвимости :(

Victor 04.05.2008
Обычно коды в книгах не являются продуктами, платными или бесплатными, которые планируется где-то использовать. Кроме случаев когда книга посвящена именно конкретному продукту. Это же только примеры, которые должны проиллюстрировать какую-то мысль. Если у авторов весь смысл был в разработке защищенного приложения - то вы правы. А если они просто сделали незащищенную демку - так это простительно. У нас кто чего сам делать не умеет - других обучать этом сразу начинает.

Хотя, вот я помню когда инета еще не было (1994-5 гг) и я прикупил книжку издательства Питер (будь оно неладно) страниц на 500 про компьютерную графику. Так оттуда читать нужно было ровно три страницы. Остальное - полная вода и туфта. Но в общем ради этих трех страниц пришлось купить, поскольку других источников информации просто не было. Может в книжке чего еще полезное было кроме дырявой самодельной cms?

PS: на этом сайте что-то капча глючит. вводишь все верно, а она ругается.

c0nst 05.05.2008
> PS: на этом сайте что-то капча глючит. вводишь все верно, а она ругается.
исправил.

> Может в книжке чего еще полезное было кроме дырявой самодельной cms?

Особо нужных и полезных приемов или технологий я там не нашел. Хотя, может быть новичкам и пойдет.