作者:
afgn (n/a)
2014-07-18 14:53:51如題,
我會PHP, 但又不想學框架(Zend、Symphony、CodeIgniter、Yii),
可以只用 PEAR 嗎? 或是什麼都不用? 直接用PHP的一些函數來避免
SQJ Injection、XSS ?
有沒有相關文件可以參考? 謝謝 ^_^
PEAR不是套件管理嗎 你做網站可以把PEAR做進去?有創意!
作者:
afgn (n/a)
2014-07-18 15:57:00我是說只用PEAR的一些套件, 請勿無聊抓語病
作者:
CaptainH (Cannon)
2014-07-18 16:09:00中文先練好再說, 看標題還以為現在的框架都有資安問題
作者: Fantasywind (Fantasywind) 2014-07-18 17:03:00
國文老師:
作者:
afgn (n/a)
2014-07-18 17:47:00看來這邊的程度都不太好, 只在乎作文程度, 跟教育部有得拼...
作者:
CaptainH (Cannon)
2014-07-18 17:49:00Zzz 慢走不送
簡單回答你 可以 大型網站其實會避免用框架google很多資料 大多是以函式的方式實作
作者:
alpe (薛丁格的貓)
2014-07-18 18:25:00干Framework啥事, 資不資安不是fw, 是工程師的能力問題
作者: tanson (Flash) 2014-07-18 19:57:00
表達能力也是工程師必備能力,表達的不清不楚,甚至跟原意差很多,請問是要怎麼跟人溝通?
作者:
danny8376 (釣到一隻猴子@_@)
2014-07-18 20:41:00自己老闆自己工程師就可以不管溝通啦...不... 這樣反倒會不清楚消費者要啥XD
作者:
alog (A肉哥)
2014-07-18 21:15:00資安涉略地方很廣,不會因為你用 Framework 就沒問題所以你想自己設計框架或完全不用框架的設計模式來製作程序也是可以 但相對的,你的實戰經驗就必須要很豐富一方面你多少都要懂得打站 一方面也要懂得知道要寫單元測試或安排測試腳本try你的網站運作,確保你設計的機制是有做動的但怎樣判斷程序回來的結果程是是正確的? 我列以下幾點供參考1. 多 follow 國內外的資訊安全消息2. 多多研究 exploit 的 demo source code 了解攻擊手法因為那種東西就像是變魔術一樣,你不知道手法,即使你用框架系統也保不了你的網站安全3. 要注意一些程式語言的動態或相關資訊新聞因為現在的已經不向過往,用一個語言幹全部的事,很多都採用有特色的語言 or 框架架構來解一些性能上比較不足的地方但是這種異質的架構往往都會帶來一些安全隱憂如果不知道這方面的訊息,就像 2. 一樣,有天你的機子也會掛4. 可以不用使用框架,但要懂得他的優劣、特點以及設計方式5. 伺服器安全/設定需要去關注/研究,善用裡面的模組、設定因為很多攻擊或許不是衝著你用的程式,而是看準你不會調校試圖進行癱瘓或try 0day想辦法弄到主機權限又或者不當的設定下,暴露了一些重要程式的位置 或 可以下載特定的檔案資料,所以說,善用主機設定跟調校不僅性能上的運作可以壓榨出server的極限外,安全性也能因為你的設定得到更高標準的防護 避免資料無端流出
作者: up9cloud (九天) 2014-07-19 08:25:00
推alog佛心來著...
作者: xxxzzz (...) 2014-07-19 19:32:00
誠心建議先學問問題該有的EQ
作者:
Bambe (起笑的我們:P)
2014-07-19 23:03:00以為框架怎麼了+1... 結果只是因為不想學框架...
作者:
afgn (n/a)
2014-07-20 06:36:00謝謝指教 ^_^
作者:
kobala (悠閒)
2014-07-21 17:35:00其實只是不想多學,不是真的懂injection跟xss吧 ZZZ