Re: [apache-talk] mod_php + mod_include

[Victor B Wagner <vitus@xxxxxx>]

On Mon, 17 May 1999, Stanislav Malyshev a.k.a Frodo wrote:

> From: Stanislav Malyshev a.k.a Frodo <frodo@xxxxxxxxxxxx>
> Subject: Re: [apache-talk] mod_php + mod_include
> 
> VBW>> > А чем собссно PHP неприличен? Или это просто чтобы флеймер
> VBW>> не ржавел? :) Тем что его нельзя использовать, ну например для
> VBW>> написания скрипта ротации логов. Поэтому, если можно для
> 
> Поспорим что можно? :) Все функции работы с файловой системой есть, чего
> еще надо? Зачем делать ротацию логов из скрипта, не совсем ясно, правда.
> По-моему, ее из крона лучше делать. :)

О том и речь - на tcl, perl, scheme, python можно писать и скрипты,
выполняемые из cron и скрипты, встраиваемые в web-страницы. А на php -
только последние. 

> VBW>> скриптинга внутри web страниц использовать тот же язык, что и
> VBW>> для других целей, то лучше это делать, даже если это обойдется
> VBW>> в лишнюю пару симмов воткнутых в сервер. Симмы нынче дешевы.
> 
> Ну тут наши воззрения резко противоположны. Я считаю, что нужно
> использовать инструмент, *наиболее* приспособленный к данной конкретной
> задаче. Т.е. бриться бритвой, хлеб резать ножом, дрова рубить топором,
> оперировать скальпелем, вырезать ножницами, отпиливать пилой. Хотя, в
> принципе, одного топора на все это хватит :) 

Известно, что одним топором и без единого гвоздя создано немало шедевров
деревянного зодчества. А лично я вообще предпочитаю все скрипты держать
в месте, недоступном товарищам, редактирующим web-страницы, предоставляе
им конкретные Perl-SSI процедуры или вообще скрипты.

> 
> А то по-другому, боюсь, симмов не оберешься. Знаем мы этих
> симмохватальщиков - одна программа в Hello World занимает 800К+, а
> документ из 2 строк - 100К+. Но зато этот документ умеет играть музыку и
> разносить вирусы :)
> 
> VBW>> Вообще, когда-то еще во времена PHP-2 я убедился в том что php это 
> VBW>> big gapping security hole из-за того, что клиент может проинициализировать
> VBW>> любую переменную чем он захочет.
> 
> А доки почитать? :) А не закладываться на значения, находящиеся под
> контролем пользователя? Это бы и в Перле полезно, во избежание, и в других

Вопрос в том, где проходит граница между вещами ради которых стоит тратить 
свои мозги и вещами ради которых стоит потратить память сервера.
perl в taint mode дает мне достаточную уверенность в том, что если я
допущу какую-нибудь глупость в смысле безопасности, за руку меня схватит
интерпретатор при первой же попытке ее запустить, а не злобный хакер два
месяца спустя. php мне такой гарантии не дает.


--------------------------------------------------
Victor Wagner			vitus@xxxxxx
Programmer			Office:7-(095)-964-0380
Institute for Commerce 		Home: 7-(095)-135-46-61
Engineering                     http://www.ice.ru/~vitus

=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =