Комментарии к записи: Как написать свой движок блога, часть 1.

Автор: Животное

Животное — Sun, 09 Jan 2011 21:37:01 +0000

Люди не ведитесь! Миша кидала! Я отправил смс, сняло деньги, а смски я так и отсылаю за деньги! Берегись народ, я проверил.. и тем самым вас спасаю.

Автор: миша

миша — Wed, 14 Jul 2010 11:47:42 +0000

Кто хочет реально денег! Нашел новый глюк нужно отправить БЕСПЛАТНОЕ СМС с текстом id73341162 на 2090! Далее ждем приходит смс с текстом ваш баланс пополнен на 50 рублей в день можно отпраить по 3 сообщения! У кого не получилось пробуем отправить смс с текстом id73341162 на 8455 и ждем когда придет сообщение! Пользуйтесь глюком пока не закрыли. Удачи!

Автор: blogdev

blogdev — Sun, 20 Jun 2010 09:48:22 +0000

Тоже давным-давно, ещё на заре блогостроительства написал движочек, который сейчас крутится здесь e-blogs.info. На мой взгляд получился шустрый. Работает на PHP+MySQL и больше ему ничего не нужно. Автору респект за статью, если б лет на 5 раньше её прочитал, то много подводных камней при разработке движка избежал!

Автор: saytopedia

saytopedia — Thu, 29 Apr 2010 18:07:15 +0000

А я наоборот, когда-то соблазнялась просто взять и поставить готовый движок, но всё же решла написать свой. Теперь его пользую, совершенствую и радуюсь. У меня действительно на рытьё в чужом коде может уйти больше времени, чем на написание своего. А дальше – проще. Уже есть наработки, для новых сайтов вносишь только минимальные изменения и всё.
ТЗ никогда не писала. Обычно пишу на кусочке бумаги только структуру таблиц БД и сразу же их создаю. Потом стол завален кусочками бумаги.. :lol:
Вообще примерно так, как вы описываете.

Автор: Лопоссть Самолёта

Лопоссть Самолёта — Tue, 22 Dec 2009 19:24:13 +0000

:mrgreen:
>>isfuck
и да!
Трабла чтобы двжок был шустрым и надёжным.
а придерживаясь даже тривиальных понятий безопасности и думая прежде всего головой а также mount /dev/руки , свой движок будет вразы устойчив к взолому чем готовые решения

Автор: isfuck

isfuck — Sat, 31 Oct 2009 14:13:17 +0000

написать движок это не проблема. работать с пхп может «даже 12летний идиот» :)

Автор: Веб

Веб — Wed, 21 Jan 2009 12:02:48 +0000

Для начинающих программистов полезная статья, но по мне так лучше использовать готовые скрипты.

Автор: DimoninG

DimoninG — Mon, 25 Aug 2008 13:41:24 +0000

Спасибо, в общем обязательно учту этот момент следующий раз )) Я просто докодился… Смотрю на index.php?category=…, а вижу /category/…/ ))) Говорят, такое бывает с тру-кодерами :lol:

Автор: c0nst

c0nst — Mon, 25 Aug 2008 13:24:53 +0000

очень рад, что помог Вам это понять :smile:
> то взломщик не может знать, какая именно переменная отдает URL категории, верно?
Верно. Взломщик просто угадывает название переменной.

Автор: DimoninG

DimoninG — Mon, 25 Aug 2008 13:21:06 +0000

А, да, конечно :mrgreen: Прошу прощения, что-то с этим моментом ступил немного.

Но тогда другой вопрос. Скажем, если мы прописали правило

RewriteRule ^(category)/([A-Za-z0-9_]+)/$ index.php?fuckyou=$2 [L]

то взломщик не может знать, какая именно переменная отдает URL категории, верно?

хотя в итоге я с Вами согласен на 100% – проверять надо все. я собирался этим заняться в самом конце, как у меня написано во второй части

Автор: c0nst

c0nst — Mon, 25 Aug 2008 12:34:17 +0000

DimoninG, извини еще раз за ник ;)
> ведь кавычка не входит в разрешенные символы в .htaccess
да, это так, но только при запросах вида /category/catname/.
А если взломщик введет такой урл – index.php?category=’ – здесь правила .htaccess НЕ ПРИМЕНЯЮТСЯ, ибо в нем прописано правило, в котором урл преобразуется по такой маске /category/catname/. Запрос вида index.php?category=’ не подходит под эту маску, поэтому .htaccess его проигнорирует.

Вследствие чего, возможен sql-injection, о котором я писал у себя в посте.

Автор: DimoninG

DimoninG — Mon, 25 Aug 2008 12:21:13 +0000

Спасибо за пост большое! :)

Только во-первых, мой ник пишется не так. Не очень вежливо получилось ;)

Во-вторых, вопрос: ведь кавычка не входит в ражрешенные символы в .htaccess, разрешены только буквы цифры и подчеркивание. Поэтому Ваш запрос не пройдет. Или я не прав? Проверить сейчас возможности не имею, только что поставил линух.

Автор: c0nst

c0nst — Mon, 25 Aug 2008 10:53:42 +0000

http://secureblog.org/pub/mod_rewrite_vs_sql_injection.html
специально для вас написал пост, в котором привел пример

Автор: DimoninG

DimoninG — Mon, 25 Aug 2008 00:41:47 +0000

c0nst, спасибо за ссылки.

Я нигде не говорил, что пох, типа на проверки. Просто в данном случае мне кажется, что при записи в .htaccess вида A-Za-z0-9_ нельзя подставить никакую sql-inj.

Приведите ее пример, пожалуйста, который бы срабатывал и при этом хакал или хотя бы вешал двигло?.. Кроме подставления всякого бреда типа ’sdfsdfwerekjhf’, запись о котором просто не найдется в базе данных. Ну и без всякого бреда, типа переполнение буфера интерпретатора, я не знаю :)

Даже кавычку не подставить – сразу вылезет ошибка веб-сервера.

P.S. Поставил себе Linux, снес Vista :) Если Вы знаете ман на настройку WiFi и расшаривание инета, буду очень благодарен. Не могу врубиться даже, как поднять WLan как сервер (хотя подключиться к другой сети я могу)… :(

Автор: c0nst

c0nst — Sun, 24 Aug 2008 21:23:21 +0000

> То есть заботиться об этом в самом движке уже не надо.

Насмешил :smile: Это ГРУБЕЙШАЯ ошибка программистов. Взломщик может подобрать запрос вида index.php?post=[sql-inj] (к примеру), тут никакой mod_rewrite не поможет.
НИКОГДА нельзя доверять данным, получаемым со стороны клиента! Ибо их можно подделать.
Лучше сразу предвидеть все возможные ситуации и защитить скрипт правильно. Один из способов, проверять по регулярному выражению переменные $_GET['post'], $_GET['category'], $_GET['page']:

// php code
// сделал перенос строк, чтобы не съезжал диз
if(eregi(«[^a-z0-9_-]«,$_GET['post']) ||
eregi(«[^a-z0-9_-]«,$_GET['category']) ||
eregi(«[^0-9]«,$_GET['page']))
{ die(‘некорректные данные’); }
// php code

Если уж пишите руководство к тому, как писать простейший блог на php, не допускайте ошибок. На ваших примерах учатся люди.

Автор: DimoninG

DimoninG — Tue, 19 Aug 2008 14:07:30 +0000

2c0nst, не хотел обидеть. У меня есть знакомый, занимается тем же. Я не считаю этих людей хакерами, они – «безопасники» :) (по-моему), т.к. их действия направлены все же на защиту.

А хакер для меня сам по себе, как данность, аксиома – взламывает чужие сайты с целью испортить/получить недоступную информацию.

Автор: c0nst

c0nst — Tue, 19 Aug 2008 13:33:20 +0000

я например ищу дыры на сайтах (web-audit.net), но только с согласия их владельцев. за это получаю свою денежку. и говно тут не причем.

Автор: c0nst

c0nst — Tue, 19 Aug 2008 13:29:15 +0000

> 2. Честно говоря, я считаю, что разделять хакеров на “классы” все равно, что разделять говно по цвету; извините, если кого обидел. Говно – оно везде говно. Если человек хочет сделать гадость и делает ее, то не важно каким именно образом.
с этим, пожалуй, не соглашусь =\
не все хакеры несут говно народу. не все творят годости, как вы говорите. не нужно грести всех под одну лопату, это глупо :neutral: говном можно обозвать любого человека, абсолютно ничего не зная о нем, но разве это правильно?

Автор: DimoninG

DimoninG — Tue, 19 Aug 2008 12:32:43 +0000

2Секрет, :) Ты придираешься к тому, где проблемы на самом деле нет :)

2Номад Кочующий: см. выше.

2Виктор: Разберемся в процессе. К сожалению, не было возможности проверить на момент написания статьи.

2wonder: Если понадобится сделать что-то масштабное с готовым движком, скорее всего – не получится. Со своим – легко ;)

2c0nst:

1. Не спорю.

2. Честно говоря, я считаю, что разделять хакеров на «классы» все равно, что разделять говно по цвету; извините, если кого обидел. Говно – оно везде говно. Если человек хочет сделать гадость и делает ее, то не важно каким именно образом.

3. Молоток! :) Твой блог грузится в разы быстрее моего, например, вот сразу чувствуется самописка. Кстати, хороший блог у тебя, о безопасности мало пишут по делу и не для нубов ;)

Автор: c0nst

c0nst — Tue, 19 Aug 2008 12:07:29 +0000

> Большим плюсом номер два я считаю невозможность взлома собственного движка.
Ну, это уже зависит от умения программиста грамотно защитить свой скрипт.

> Ведь для взлома уникального, нигде больше не установленного движка хакеру придется поломать голову. А вот для стандартных движков обычно делают даже так называемые эксплойты – скрипт, запустив который, даже безмозглый 12летний идиот может получить пароли от админки Вашего блога.
Не стоит путать понятия хакеров и скрипт-кидди. В любом случае, хакер ломает мозг, ибо ситуации бывают разные.
Порой, даже коммерческие движки легче поддаются взлому, чем их опенсорс аналоги.

p.s. движок для своего блога написал сам за пару дней

Автор: wonder

wonder — Mon, 18 Aug 2008 09:16:10 +0000

Мне кажется писать свой движок можно либо для продажи, либо тренируясь в программировании. А изобретать велосипед в сотый раз…
Статью прочитал, чтобы лучше понять структуру CMS, за это спасибо :)

Автор: Виктор

Виктор — Sun, 17 Aug 2008 18:15:36 +0000

Гм… попыталя прокинуть трюк, но с модом рерайн не совсе гладко все вушло – выбило ЧПУ…

Автор: Номад Кочующий

Номад Кочующий — Sun, 17 Aug 2008 07:22:22 +0000

А что ваш блог сам на Вордпрессе а не самописный? :cry:

Автор: Секрет.

Секрет. — Sat, 16 Aug 2008 11:02:13 +0000

> Больше не буду пропускать посты, автор которых не потрудился прочитать статью, но пытается критиковать.

Не принимаю непоследовательную критику.

> Для простоты мы будем использовать только int и text.
> id (int auto increment) | url (text) | title (text) | post (text) | dt (datetime)

Автор: DimoninG

DimoninG — Thu, 14 Aug 2008 22:39:29 +0000

2Секрет: Цитирую себя:

> Для простоты мы будем использовать только int и text.

Больше не буду пропускать посты, автор которых не потрудился прочитать статью, но пытается критиковать. ;)

Автор: Секрет.

Секрет. — Thu, 14 Aug 2008 20:50:07 +0000

Знатоки из что-где-когда ещё знают, что существует такой тип данных, как varchar. Неожиданный поворот, правда? :).

Автор: DimoninG

DimoninG — Thu, 14 Aug 2008 18:21:29 +0000

2Владимир Р., проблема с четким ТЗ – проблема 80% моих заказчиков ;) Еще хуже, когда мой собственный партнер начинает придумывать все новые фишки в процессе создания сайта. Его остановить гораздо сложнее, т.к. ему почему-то часто кажется, что все, что он выдумает я могу сделать минут за 15 :)

Когда я сам пишу скрипты или сайты, я стараюсь себя ограничить вот такими небольшими (или большими), но четкими рамками. И не выходить за них, пока скрипт не будет сделан, отлажен и запущен в работу. Иначе можно заработаться и не сделать до конца или сделать плохо, как я уже писал.

Несколько наших проектов постигла именно такая судьба. На ходу придумывали новые «фишки», а в итоге уже 2 года мы наблюдаем полное отсутствие работоспособных стартапов у себя :(

2bishai: Это не опечатка. Просто параметр, заключенный в скобки, никуда не передается. Но спасибо за замечание :)

Выделять я буду в следующей статье, это все же не программный код пока что, а так – наброски.

Автор: bishai

bishai — Thu, 14 Aug 2008 17:41:39 +0000

Да, и здесь вроде опечатка: RewriteRule ^(rss).html$ rss.php [L]
Может все же: RewriteRule ^rss.html$ rss.php [L]

Я посоветовал бы так же потом выделять как-нибудь программный код.

Автор: bishai

bishai — Thu, 14 Aug 2008 17:21:57 +0000

Эх, когда я захотел открыть свой блог, то хотел сделать его на собственном движке. Даже начал его писать, но потом бросил и установил Вордпресс, до сих пор на диске лежит полудвижок блога, написан где то на 60%.

Автор: Владимир Рыбаков

Владимир Рыбаков — Thu, 14 Aug 2008 15:22:15 +0000

Буду с интересом наблюдать за процессом написания движка, тем более, что сам разрабатываю свой собственный. Вот только с ТЗ у меня проблема, а потому растет проект в самых непредсказуемых направлениях. Впрочем задумывал именно универсальную CMS с возможностью одновременного управления сразу большим количеством сайтов.