https://www.opennet.ru/openforum/vsluhforumID3/116944.html В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 20% (https://pagely.com/blog/top-ecommerce-platforms-2018-compared/) рынка систем для создания интернет-магазинов, выявлены (https://blog.sucuri.net/2019/03/sql-injection-in-magento-core.html) уязвимости, позволяющие выполнить код на сервере и осуществить подстановку SQL-запроса. Проблемы устранены (https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update) в выпусках Magento 2.1.17, 2.2.8 и 2.3.1, в которых также исправлено 30 менее опасных уязвимостей, таких как межсайтовая подделка запроса (CSRF) и межсайтовый скриптинг (XSS).<br><br><br>Наиболее опасная проблема позволяет добиться подстановки своего SQL-кода через отправку специального запроса к обработчику "/catalog/product/frontend_action_synchronize". Атака может быть проведена неаутентифицированным пользователем. Через манипуляции с содержимым БД атакующий может добиться выполнения своего кода на стороне сервера https://www.opennet.ru/openforum/vsluhforumID3/116944.html#63 Sat, 30 Mar 2019 20:39:09 GMT &gt; И это, блин, всего лишь авторизация. А ты про правильные подходы к организации работы с базой.<br><br>Да, я из этого обсуждения уже понял. Они мыслят в узких рамках создания конкретной программы, а не в смысле создания среды для создания программы. Это мне напоминает: https://www.youtube.com/playlist?list=PLB00JHoTw1TeX82Qw8hoFLRJI89Us_jMw<br><br>Мужик купил за $1 сгнившую яхту и ремонтирует её, снимая всё на видео и заливая на ютуб. Ему приводить яхту в порядок чисто по фану, и это заражает людей. Они смотрят видяшки на ютубе, заражаются идеей и приезжают к нему помогать. И любопытно наблюдать, как люди создают техпроцессы: надо вырезать туеву хучу шпангоутов вместо сгнивших, причём вырезать надо точно, то есть нужен труд квалифицированного плотника. Он вырезал первый шпангоут пару дней, по-моему. Сейчас они меняют десяток пар шпангоутов в неделю, выдерживая точность до миллиметра, причём существенная часть работы выполняется энтузиастами, которые не уверены за какой конец надо держать молоток. Потому что техпроцес https://www.opennet.ru/openforum/vsluhforumID3/116944.html#62 Sat, 30 Mar 2019 10:24:16 GMT &gt; Да блин, хочешь я тебе сейчас прямо здесь напидаю простейшую реализацию?<br><br>А, так это не готовая реализация, это просто прожект? Сорри, я подумал, ты о какой-то уже существующей библиотеке говоришь.<br><br>Что мне накидывать, накидать-то я и сам могу. Но что ты хочешь от коммьюнити пхпшников, ну в самом деле... Это же пхпшники, ну камон.<br><br>Я помню, как я пытался одного пхпшника в проекте научить делать авторизацию через базу. Дал ему ссылки на все доки, все апи, вообще на всё. Без толку: он в итоге сделал худо-бедно по роликам на ютубе авторизацию посредством записи сессии в файл, и с чувством выполненного долга доложил о том, что справился. =/<br><br>И это, блин, всего лишь авторизация. А ты про правильные подходы к организации работы с базой.<br><br>Не, вебнику вебниково. Вся работа с базой должна быть вынесена в бэкенд, а вебнику предоставлены API работы с бэкендом. Это -- наиболее разумное решение, имхо. И не на php надо писать фронтенд, а на js. Jamstack не на пустом месте родился.<br><br>PS: и будем честны, вряд ли https://www.opennet.ru/openforum/vsluhforumID3/116944.html#61 Sat, 30 Mar 2019 06:56:23 GMT механизм, да, не готовая машина. но время на сборку из шестеренок (часть из которых, традиционно, квадратные) все же экономит - хотя и ценой необходимости разобраться в уже собранном - но это все же быстрее, чем самому выпиливать надфилем.<br><br>минус - вот, за обновлениями надо следить, а самосбору может помочь эффект неуловимого джо, даже если в самой symphony тоже в очередной раз найдут дырку, или ты самостоятельно ее проделаешь.<br><br>впрочем, средства пассивной безопасности никто не отменял.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#60 Fri, 29 Mar 2019 20:56:22 GMT Я оцениваю мадженту больше как каркас с готовой веб-витриной и всеми ништяками для seo и cms, который задаёт определённые правила и даёт определённые инструменты. В отрыве от каких-то других систем(вроде odoo/самописных) она неприменима даже для мало-мальски малого бизнеса. Точнее применима, но это боль. Отсюда и сравнение с symfony<br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#59 Fri, 29 Mar 2019 20:45:51 GMT Мне правда очень интересно. Знаком с платформой с первой версии. Недавно внедрял версию 2.3. Негатива очень много. Но проверенные мной альтернативы не смогли дать нужную гибкость. В итоге костылями и скриптами пришлось доводить magento<br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#58 Fri, 29 Mar 2019 20:41:55 GMT &gt; Вы насколько хорошо с предметной областью знакомы?<br><br>когда вместо ответа дают ссылку на бессмысленные списки из викибредии - это означает, что подобным списком знакомство и исчерпывается.<br><br>&gt; На мой взгляд magento это никак не меньше чем фреймфорк symfony <br><br>вообще-то они совершенно перпендикулярны.<br><br>мажента - готовый механизм для конкретной задачи. symphony - набор шестеренок, механизм надо собрать самостоятельно.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#57 Fri, 29 Mar 2019 20:28:54 GMT Непонятно, что имелось в виду<br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#56 Fri, 29 Mar 2019 20:27:29 GMT Вы насколько хорошо с предметной областью знакомы? Рассчитывал получить коментарии от профи. На мой взгляд magento это никак не меньше чем фреймфорк symfony<br> https://www.opennet.ru/openforum/vsluhforumID3/116944.html#55 Fri, 29 Mar 2019 17:29:27 GMT Не надо о них мечтать. Они есть, да, с проверкой корректности в compile time, типобезопасные и прочее. Но, увы, это не о php.<br>