SecureBlog

Дата: 03.05.2008, Категория: Мысли

Вчера в универе попалась мне в руки книга М. Кузнецова "PHP 5. Практика разработки Web-сайта". Решил полистать. Просматривая страницу за страницей, не нашел для себя ничего нового...

Решил посмотреть прилагаемой к ней диск с исходными кодами приложений, описанных в самой книге.
Первое что попалось на глаза, это их "CMS". Запустил апач, установил скрипт на локалхост. Открыв сайт в браузере и внешне осмотрев его, честно говоря был в шоке...

Нашел уязвимость sql-injection в разделе "Галерея". Возможно, там присутствуют и другие уязвимости, но, честно говоря, после этого даже не стал осматривать движок дальше, ибо смысла не было узнавать для себя что-то новое. Стало даже немного обидно за то, какая некачественная литература печатается у нас в стране.

Как человек, который не может грамотно писать и защищать свои приложения должным образом, может писать книги о практике разработки на php? Куда смотрят люди, которые выдают книгу на печать?
А потом спрашивается, почему наши программисты пишут дырявый код, повлекший за собой многочисленные взломы. Трудно представить, сколько людей учится на таких книгах, трудно представить о том, сколько в сети скриптов, написанных по технологиям, описаным в этой книге...

Стыдно, товарищи :(

Если уж берутся open source программисты за разработку какого-либо продукта, должны подходить к этому делу с умом.
Я, конечно, понимаю, что за разработку им никто не платит при отсутствии спонсоров, но все же, многие используют эти продукты на своих сайтах, тем самым подвергая опасности какую-либо важную информацию. Коммерческие разработчики и веб-студии так же не отстают.
В своей практике часто встречал коммерческие скрипты, качество написания которых было совсем не на том уровне...
Если уж вы собрались продавать свой продукт, позаботьтесь о том, чтобы качество этого продукта соответствовало его цене.
Это мое ИМХО, и думаю, со мной многие будут согласны.

p.s. на сайте авторов книги тоже есть уязвимости :(

plaubbisp 01.05.2012
<a href=http://buyviagrahereonline.com/#19909>viagra 100 mg</a> - <a href=http://buyviagrahereonline.com/#13892>buy viagra</a> , http://buyviagrahereonline.com/#7010 buy cheap viagra

Keyclelayelia 12.05.2012
[url=http://www.formspring.me/LinnMilewski/q/322127388970320063#4556]order silagra[/url] - <a href=http://www.formspring.me/LinnMilewski/q/322127388970320063#15832>order silagra</a> , http://www.formspring.me/LinnMilewski/q/322127388970320063#7333 cheap silagra

ClineeFaite 18.05.2012
[url=http://buycheapviagraonlinebest.com/#9052]viagra no prescription[/url] - <a href=http://buycheapviagraonlinebest.com/#12864>generic viagra</a> , http://buycheapviagraonlinebest.com/#5754 order viagra online

wectentette 20.05.2012
[url=http://propeciaonlinecheap.com/#20831]buy generic finasteride[/url] - <a href=http://propeciaonlinecheap.com/#17594>buy propecia online</a> , http://propeciaonlinecheap.com/#17822 buy finasteride