程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> Ecshop、Discuz! 等開源產品的局限,ecshopdiscuz

Ecshop、Discuz! 等開源產品的局限,ecshopdiscuz

編輯:關於PHP編程

Ecshop、Discuz! 等開源產品的局限,ecshopdiscuz


記得今年年初,我初次接觸Discuz!和Ecshop時,一陣陣地驚歎:成熟度這麼高的產品,居然是免費的。我們這些搞傳統軟件開發的要怎麼活?另外也奇怪,做這些產品的公司,他們要怎麼活?

我公司的網站,原型正好是用Ecshop和Discuz!,到開發方移交給我們後,我們做二次開發,深入了解了其代碼,早期的疑惑才有了答案。

可以說,這些產品,都無法支持真正嚴肅的應用環境。

1)所有的數據庫訪問都不用mysqli連接,因此無法用prepared statement,而全部用拼接方式。

這些系統,對數據庫(主要都是mysql)的訪問,全部采用sql拼接方式。舉一個Ecshop的例子:

   $w_openid = $db -> getOne("SELECT `wxid` FROM `wxch_user` WHERE `wxid` = '$openid'");

或類似

   $wxch_user_sql = "INSERT INTO `$thistable` ( `user_name`,`password`,`field3`,`field4`) VALUES ('$variable1','$variable2','value3','value4')";
   $db -> query($wxch_user_sql);

 

這種語句,偶爾出現倒也可以理解,如果所有的地方都是這樣(正如Ecshop),則應該出於對數據庫只有入門水平的人手裡。因為他完全沒有使用prepared statement的概念。

所以,這種系統幾個人用應該是快如閃電,並發量一大,後台數據庫可能被攪成一鍋粥了。

正確的連接數據庫的方法應該是:

 $mysqli = new mysqli("server", "username", "password", "database_name");

而不是

$conn = mysql_connect('server','username','password') or die ("數據連接錯誤!!!");

 正確的sql語句應該是:

$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

$stmt->bind_param("s", $safe_variable);

$stmt->execute();

而不是前面那樣。

 

2)系統安全性極差

因為不用prepared statement,只要編程人員不注意,sql injection可以說到處都有可能。但看看他們的代碼,可以說壓根不注意。因為這些系統,對用戶輸入幾乎不用轉義。

對於已經很爛的代碼,正確的用法是應該有第二行:

$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);

mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

但在這些系統裡,上面的第二行很少看到。

這樣造成的問題就是,針對這些系統的機器人極多。基本上你的論壇上線不久很快就被機器人發的水貼、廣告貼盯上了。

 

本人對這些系統研究還很膚淺,不過看到這兩條,就已經明白,這種系統是供學習用的。開發這些產品的公司,他們的水平很高,不過高質量的代碼應該是用在了商業性收費的產品上。大家別以為可以撿到便宜。

 

轉載請注明出處:cnblogs上的海邊的駱駝博客。原博文地址:http://www.cnblogs.com/yingjiang/p/4750408.html 

 

 

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved