1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Oxwall: Soziales Netzwerk in…

[gelöscht]

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. [gelöscht]

    Autor: [gelöscht] 18.02.16 - 12:25

    [gelöscht]



    6 mal bearbeitet, zuletzt am 18.02.16 12:30 durch burzum.

  2. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: Anonymer Nutzer 18.02.16 - 12:44

    burzum schrieb:
    --------------------------------------------------------------------------------
    > [...] das hier SQL Injections
    > garantiert möglich sind.

    Nutzen die PDO oder mysql_connect()? Ich habe nicht reingeschaut. Ersteres sollte aber Injections verhindern, oder?

    Klingt jedenfalls alles sehr nach "Wir stellen das PHP-Anfänger-Lehrbuch neben den Monitor und beginnen mit Schritt 1: <?php echo "Hello World"; ?> Schritt 2: MySQL und PHP - Zwei Freunde fürs Leben".

  3. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: h1j4ck3r 18.02.16 - 13:26

    Ob Injections möglich sind sei mal dahin gestellt aber SQL an sich ist doch nichts schlechtes. Wozu denn alles mögliche x-mal abfragen und umformen wenn das DBMS die genau das gewünschte mit einer Abfrage viel effizienter und performanter liefern kann? Dafür ist es schließlich da. Kann man das in eine Model-Komponente auslagern, dass es nicht überall verstreut und durch die Abstraktion besser handlebar ist? Ja, sollte man sogar...

  4. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: heubergen 18.02.16 - 13:31

    david_rieger schrieb:
    --------------------------------------------------------------------------------
    > Nutzen die PDO oder mysql_connect()? Ich habe nicht reingeschaut. Ersteres
    > sollte aber Injections verhindern, oder?
    PDO schützt nicht per Design vor Injections, der Code muss auch bei PDO mit Prepared statements vor 1st order Injections geschützt werden.

  5. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: SelfEsteem 18.02.16 - 18:38

    h1j4ck3r schrieb:
    --------------------------------------------------------------------------------
    > Kann man das in
    > eine Model-Komponente auslagern, dass es nicht überall verstreut und durch
    > die Abstraktion besser handlebar ist? Ja, sollte man sogar...

    Um es mal etwas "staerker" auszudruecken: Nicht "kann" und auch nicht "sollte", sondern man hat das so zu tun und zwar basta.

    Bei verstreutem Code verwette ich mein Monatsgehalt darauf, dass identische Stuecke x-fach implementiert sind. Davon wahrscheinlich x-1 mal falsch oder fehlerhaft.

    Imho hat burzum da voellig recht - bei mir steigt bei sowas auch sofort der Gestank von SQL-Injections in die Nase.

  6. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: h1j4ck3r 18.02.16 - 21:24

    Ja, müssen ist aber so eine Sache... guckt euch mal die meisten kleineren Projekte die vllt. sogar auf Frameworks aufsetzen an. Hauptsache schöne kleine Codebasis und schnell implementiert(siehe die ganzen rails+scaffolding-fans die ja "nur
    3 Zeilen" dazu schreiben müssen und dann "funktioniert's").
    In den meisten Beispielen sieht man auch wenig von Sicherheitmechanismen und die meisten haben wahrscheinlich auch noch nie was von OWASP gehört. Das Problem ist, dass man schnell etwas funktionierendes "hinklatschen" kann und sich dann erstmal, für das zügig durchgezogene Projekt auf die Schultern klopfen lässt, meist aber auf Kosten der Sicherheit, denn oft blähen Sicherheitsabfragen den Code doch auf, oder guter Programmierstil mit diesen Zusammen ist aufwändiger als das, was einem z. B. in einer "Codingcompetition" als erstes einfällt...
    Das soetwas nicht sein darf ist klar, aber wie viele halten sich dran, wenn nicht noch das ganze Team mal drüberschaut, oder überhaupt das Bewusstsein dafür fehlt.
    Gerade im Bereich Ruby und PHP fehlen sehr oft einige Dinge(guter Codingstil, durchdachte Architektur/Design, Sicherheit, Performance) auf Grund der "Einfachheit" der Programmiersprache, denn viele(nicht nur Anfänger) lassen sich schnell zum schlampigen Bugfix und Codegefrickel hinreißen.

  7. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: Anonymer Nutzer 19.02.16 - 07:36

    heubergen schrieb:
    --------------------------------------------------------------------------------
    > > Nutzen die PDO oder mysql_connect()? Ich habe nicht reingeschaut.
    > Ersteres
    > > sollte aber Injections verhindern, oder?
    > PDO schützt nicht per Design vor Injections, der Code muss auch bei PDO mit
    > Prepared statements vor 1st order Injections geschützt werden.

    Na, aber genau das macht man doch mit PDO... o.O Sei's drum.

  8. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: liberavia 19.02.16 - 09:31

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Es ist 2016...
    >
    > - Kein Composer Support

    Menetwegen lass ich gern die anderen aufgeführten Dinge gelten. Composer dagegen ist nach meiner Erfahrung aber mittlerweile eher Fluch als Segen, wenn man sich vor allem synfony bungles anschaut.

    In meinem Fall konnte ich Composer zwar schon sinnvoll nutzen, um z. B. das eine oder andere SDK damit in ein Projekt zu integrieren, aber ich sehe halt auch Beispiele im Kollegenkreis die ne einfache Webseite auf Basis von Synfony2 mittels Composer aufbauen.

    Mal von dem ganzen Bloat abgesehen (Tausende Dateien und hunderte Megabytes für ne simple Seite mit nem Admin-Backend....), spart man sich zwar die Zeit des Programmierens, ist aber stattdessen am herumkonfigurieren, ohne dass man die Interna ohne viel Aufwand noch blicken würde (Magie). Einen Effizienzgewinn durch Einsatz dieser "Standards" konnte ich bisher in keinem Projekt feststellen.

    Versteht mich nicht falsch, denn den Sinn eines "composers" kann ich schon erkennen. In Python z. B. funktionierte der Einsatz von pip bisher tadellos und ist echt ein Segen.

    Aber Frameworks wie Synfony, die ja stark auf Composer setzen bzw. ohne diesen ja nicht wirklich einsetzbar sind, bewegen sich IMHO auf dem Holzweg und schaffen oftmals zu viel Komplexität, wo sie nicht nötig ist.

    Kurz: Nur weil etwas von vor 2016 ist, ist es deswegen nicht gleich automatisch schlecht genauso wie nicht alles was Composer Support bietet automatisch besser ist. Lieber ein bisschen mehr KISS als tonnen unwartbaren Codes nur weil damit sämtliche modernen Code-Werkzeuge benutzt wurden.

  9. [gelöscht]

    Autor: [gelöscht] 19.02.16 - 10:50

    [gelöscht]

  10. Re: Warum fehlt im Test ein Blick auf den (miesen) Source?

    Autor: matok 19.02.16 - 12:59

    burzum schrieb:
    --------------------------------------------------------------------------------
    > In den Comments habe ich öfters "Copyright 2011" gelesen, der Code sieht
    > auch so aus als stamme er aus der zeit...

    Keine Ahnung, was du für eine Vorstellung von 2011 hast, aber auch damals konnte man schon professionell Software entwickeln. Was du meinst, hat weniger mit dem Alter der Software zu tun, sondern wohl eher mit der (geringen) Erfahrung der Entwickler.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. FREICON GmbH & Co. KG, Bremen, Freiburg
  2. Stadt Erlangen, Erlangen
  3. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  4. Robert Koch-Institut, Wildau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,99€
  2. 11,99€
  3. 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme