/ Хорошо, у меня есть готовые разработки, после нового года будет статья. Мне сначало надо доделать мою страничку с девичьими грезами
А то как всегда сапожник без сапог- дизайнер без своей странички./
Если кому неймется до нового года.
=============================
Движки 1. А надо ли оно мне. Коротко содержание.
Хороший движок, или CMS, выбирают еще серьезнее, чем провайдера. Потому что работать с движком придется гораздо больше и чаще, чем с провайдером.
Чтобы не испытывать горячее чувтсво позора лоха, будьте готовы посвятить поддержке безопасности движка полчаса в день минимум.
==============================
Движки, или CMS.
/* Ключевое слово- CMS- сontent management systems
большая коллекция на hotscripts.com тут тебе CMS и на per\'le и на яве, и на пальцах, и на коленях. */
! Главное что потребуется- время и преданность делу.
как во всех интернациональных вещах, требуется знание языка-который главный- английского.
Хотя бы для того, чтобы читать документацию и понять сообщение о новом смертельном баге в Nuke из рассылки...
- кстати, основа безопасности- ходить на новостные сайты для web-developer\'ов и обязательно быть подписанными на mail-list- КАК ПОЛЬЗОВАТЕЛЬСКИЙ ТАК И DEVELOPER\'s- вашего
1)сервера
2)базы данных
3)движка
Иначе будет мучительно больно, когда очередной хакер обнаружит, что у вашего движка в непропаченной версии неправильное обращение к базе
===================
Самые азы безопасности.
Да, начинать знакомство с любыми web-приложениями нужно именно с позиции безопасности, а не с оценки их удобств.
Потому что главное удобство- это надежностьи легкая перенастройка,а также backup, а не милый интерфейс, не правда ли?
/ Несогласных отсылаю к любому форуму- посмотрите, что кричали люди, когда их движок погибал, унося с собой в могилу базу данных со всеми статьями за год! Слезы, сопли, и прочие муки неописуемы. /
P.S. Заинтересованные в рецензии на конкретные движки- ждите следующей статьи.
==================
Как определить безопасность движка
1) все переменные передаются не напрямую
в выдаваемом пользователю тексте (как бы вы его ни называли-html,php,txt- должно быть минимум php кода)
2)все отправляемые вам (вами по почте, короче обрабатываемые вашим сервером) данные
должны проверяться по длине и на отсуствие вредоностного кода
3)Еще раз повторю- сначала все из формы проверяется другим php скриптом--
потом передается серверу.
-------------
конкретный пример- если что-то называется движком, но при этом обращается к базе напрямую из html, или принимает web-form\'ы, не прошерстив при этом (eregi там, или sstr) на вредоностный код (элементарно strip tags и ограничение по длине) Э-Т-О Н-Е Движок. Это /*вставить по выбору*/ какое-то!
Форма редактирования содержания- гнилое место всех движков.
Профессионалы знают, простым сканированием трафика к вам и от вас пароли редактирования большнинства хваленых движков можно получить за полчаса.
Поэтому все эти формы должны быть
как минимум закодированы
А лучше обмен данными между модератором и движком происходит с применением SSL, Virtual Tunneling и-или все вместе.
Хорошо проверенный вариант- аналог NUKE- отредактированная страница отсылается модератору по почте, а он загружает ее по ftp.
Разработок на эту тему может быть масса.
Главное, помнить, что чем легче пользователю, тем легче и злоумышленнику- "знаменитое проклятие юзера"
===================
Дополнительно о гну (GNU)
Гну- палка о двух концах. Как человек чести, я обязана размеситить на своем сервере сообщение GNU, если использую чужие разработки в соответсвии с этой лицензией.
Открытость источника- лучшее доказательство надежности, не случайно Apache, *nix и PHP- открытые системы- превосходят все закрытые разработки.
Однако для использования этой концепции от вас требуется огромная доля участия. И это нужно понимать.
Потому что открытое обсуждение багов приводит к тому, что злоумышленник знает о дыре в вашей системе практически тут же, как о ней становится известно одному из аналогичных пользователей.
Но и исправляют их мгновенно.
------------------------
Заинтересованных GNU отсылаю к знаменитой статье The Cathedral and the Bathar . Основоположника GNU Eric S. Raymond
http://tuxedo.org/~esr/Подумайте, что олицетворяет собой Собор, и что Базар.
Да, применение движка с открытым кодом не менее утомительное дело, чем покупки на базаре, но зато никто не будет на вас шикать, если вы заорете, что у вас украли кошелек.
------------------------
Вывод: назвался проектом, следи за багрепортом.
-------------------------
В следующей заметке- двадцать ведущих движков мира.
===============КАНЕЦ!===АПЛАДИСМЕНТЫ!==========
Примечание Администраторам- весь этот текст можете использовать как угодно в рамках проекта webscript.ru, как и все мои посты.
Я предпочитаю работать в паре или тройке при разработке проектов, поэтому комментарии модераторов в ТЕЛЕ моей статьи приветствуются! Это дает читающему человеку лишний ракурс на проблему.
-----------------------
А то новый год русские люди три недели отмечают
=============
Об авторе.
Кукла Лена- doll_lena, Kukla_lena
Из азов биографии- пик работы- работала в коллективе из 30 человек для разработки альтернативной системы коммуникаций в банковских и информационных системах- проект Арахна, Касатка. Та же международная атмосфера, только проект "закрытый", к сожалению.
Писала документацию.
Да, через меня прошли четыре тысячи жалоб пользователей и
семь тысяч страниц исходного кода вавилонского, из которого я брала комментарии, и делала что-то членораздельное.
Все это делалось за два месяца.
Ссылок не дам, у нас сейчас строго с самоцензурой.
Ссылку на домашнюю страничку дам, когда она будет
А вообще я люблю решать проблемы, рисовать и море.
