Конференция VBStreets

[Хакер]

1) Тест, который так не нравился некоторым представителям нашего форума, убран. Теперь при создании темы в Народном трепе никаких вопросов не задаётся.

2) Баг, который возникает при наличии одиночной кавычки в нике (см.эту тему) исправлен.

3) Зайдите в раздел "Для профессионалов" и увидьте изменение сами

[Amed]

Weela

[Ramzes]

БРАВО! БРАВО!

Спасибо

[Viper]

За нововеденье номер три отдельный Зур Рахмат! Интересно, найдуться ли непрочитавшие?

[alibek]

Конечно найдутся.
Тем не менее, нововведение весьма дельное.

Это вручную шаблон подправлен? Или теперь в каждом разделе могут быть объявления?

[Viper]

Или теперь в каждом разделе могут быть объявления?

Если так, то в каждом разделе можно и даже наверное нужно подообное объявление состворить. Мимо этого сложнее проехать, чем мимо прикрепленной темы-объявления.

[Хакер]

Это вручную шаблон подправлен? Или теперь в каждом разделе могут быть объявления?

Пока что это сделано весьма криво:

http://bbs.vbstreets.ru/templates/subSi ... m_body.tpl
и ассигнинг:

Код: Выделить всё

if($forum_id == 51)
{
    $template->assign_block_vars('prof_warning', array());
}

Но сделать это универсальнее, добавив возможность ставить произвольную мессагу в каждый раздел не составит труда.

В шаблоне убираем текст и заменяем его на {prof_warning.C_MESSAGE}

а код дорабатываем до:

Код: Выделить всё

if($forum_row['extra_text'])
{
    $template->assign_block_vars('prof_warning', array(
                    'C_MESSAGE' => bbencode_second_pass($forum['extra_text'], md5($forum_id) ));
}

Ну естественно, добавление в ACP кода и интерфейса для добавления изменения этого текста - более ресурсоёмкое дело.

[alibek]

Интерфейс, я думаю, не нужен.
Такие сообщения меняться будут редко, их можно и руками в базу внести.

[alibek]

http://bbs.vbstreets.ru/templates/subSilver/viewforum_body.tpl

???
У нас что, темплейты и конфиги не за пределами корня www-сервера?

[Хакер]

alibek
Нет, и в этом нет ничего плохого.

[alibek]

Хорошего тоже. Это совершенно непрофессионально и неаккуратно.
Потроха наружу не показывают.

[Хакер]

Хорошего тоже. Это совершенно непрофессионально и неаккуратно.
Потроха наружу не показывают.

Отнюдь. Никакие потроха, какие нельзя видеть, никто не сможет увидеть.


Тебя ведь не смущает то, что файл подкачки расположен прямо на логическом диске (а не в неразмеченной области) и всем виден? Аналогично с реестром? Аналогично с системными файлами?

[alibek]

Меня смутит, если файл подкачки будет на рабочем столе, а файл hosts будет размещаться в папке "C:\Program Files".
Но поскольку они, в пределах логики ОС, размещаются в соответствующих местах, они меня не смущают.

[tyomitch]

Тебя ведь не смущает то, что файл подкачки расположен прямо на логическом диске (а не в неразмеченной области) и всем виден?

В моей FreeBSD отдельный раздел подкачки.
В линухах, кажется, так же.
И чего?

[Хакер]

tyomitch
А имел ввиду Windows.


alibek

Но поскольку они, в пределах логики ОС, размещаются в соответствующих местах, они меня не смущают.

В пределах логики форума, они тоже размещаются в соответсвующих местах.

Есть хоть одна объективная причина прятать их в за документрут, меняя при этом кучу путей в куче местах?

[alibek]

Какого форума? В нормальных форумах (и вообще web-серверах) потроха прячут. Публичный адрес для шаблона -- это не соответствующее место.
Что же касается кучи путей, то для этого есть константы.

[tyomitch]

Хакер, я просто указал, что и противоположный подход столь же актуален.

[Хакер]

В нормальных форумах (и вообще web-серверах) потроха прячут.

Что значит, прячут? Делают недоступными?
Вот тебе потрох, в котором хранится логин и пароль к базе:
http://bbs.vbstreets.ru/config.php

Что с того, что ниже документ-рута?

[alibek]

И достаточно будет уронить интерпретатор PHP, после чего данный логин и пароль можно будет увидеть в открытом виде.

[Antonariy]

Хмм... А резве сервер не должен в этом случае вернуть ошибку вместо исходника? И что толку от логина и пароля к базе, если она не на внешнем ip?

[alibek]

Нет, не должен. Если PHP упал, но сам web-сервер работает, то будет возвращен исходник PHP-страницы.
Логин и пароль от базы, даже если она снаружи недоступна, все-равно может быть использован в некоторых случаях.

[Хакер]

Красивая фраза "PHP упал". А теперь объясни, что ты имеешь ввиду под словом "PHP упал"?

Если PHP работает как отдельное приложение, которое в stdout пишет ответ, то в оно не может вот так взять и упасть. В худшем случае мы получим пустую страницу (а я сталкивался с такими ситуациями на hosting.ua ).

Итак, в другое время, кроме как во врямя работы скрипта в данном случае PHP упасть не может? Или что ты имел ввиду? То, что в конфиг-файле будут ошибки? Тогда мы увидим сообщение об ошибке.

Если же PHP работает как модуль сервера apache, то если он упадёт, он упадёт вместе с apache-ем. Apache устроен так, что он форкает свой процесс для каждого подзапроса. В этом случае ответа от сервера вообще не последует и по таймауту в броузере мы полчим страницу "Ресурс не найден".

[alibek]

Во-первых, апач это не единственный веб-сервер. ISAPI-модуль PHP под IIS может упасть сам по себе. Полагаю, что апачевский модуль тоже может не сработать, в результате PHP-код не будет обработан.
Во-вторых, PHP не обрабатывает все запросы. Достаточно будет, если в настройках веб-сервера кто-то забудет указать расширение php или php5, и возвратится исходник страницы.
В-третьих, это просто признак хорошего стиля и профессионализма, когда все аккуратно, нигде ничего не торчит и все удобно работает.

[Хакер]

alibek

Во-первых, апач это не единственный веб-сервер. ISAPI-модуль PHP под IIS может упасть сам по себе.

Если под IIS это возможно, это проблемы IIS. phpBB разрабатывался под Linux и Apache, и использование его под другими ОС и сервером - на свой страх и риск.

Полагаю, что апачевский модуль тоже может не сработать, в результате PHP-код не будет обработан.

Да, но код при этом не всплывёт.

Во-вторых, PHP не обрабатывает все запросы. Достаточно будет, если в настройках веб-сервера кто-то забудет указать расширение php или php5, и возвратится исходник страницы.

Это бред. Давай рассмотрим все случаи, когда такое может произойти:
1) На сервер установили php и забыли добавить хендлер для php-файлов.

В этом случае, самого config.php не может быть (вернее он будет, но будет пустым), поэтому подсмотреть там будет также нечего. Чтобы этот файл заполнился, нужно пройти процедуру инсталляции phpBB. Чтобы её пройти, нужно чтобы на php висел хэндлер. Таким образом, ошибка в конфиге обнаружится ещё до того как в этом файле появится что-то важное.

2) Кто-то переносит форум, и залил его на сервер, на котором забыли сделать запись хэндлера, потому как, к примеру - ещё не установили PHP. Этот кто-то - извращенец. Но даже если не учитывать это: такой извращенец после залития форума наверняка захочет его потестить. И обнаружит косяк.

+ К тому же, при совершении переезда, обычно никто не знает нового адреса ресурса. Его разглашают только после того, как всё будет протестировано.

+ К тому же, phpBB предлагает нормальный документированный способ переноса форума. Если кто-то предпочитает пользоваться недокументированным способ а-ля "перенесли файлы и радуемся" - это его проблема.

3) В процессе эксплуатации форума кто-то поглупости залет в конфигурации снесёт AddHandler-строчку.
В этом случае последствия будут справедливым наказанием за такую ошибку. Однако вероятность случайно сделать это, гораздо меньше вероятности скажем, случайно удалить <? в начале файла или испортить расширение (оба случая также ведут к вываливаю исходника).

Однако, даже получение параментров доступа к БД - мало что даёт. Подключится к базе с чужого хоста, даже в случае если база находится на вшешнем, общедоступном сервере - не так то просто. Имея root-доступ к mysql можно поставить маску хостов (или маску подсети) с которой возможно делать к базе подключение. Если этого не сдалано - это косяк владельца форума, а возможные последствия будут ему наказанием.

В-третьих, это просто признак хорошего стиля и профессионализма, когда все аккуратно, нигде ничего не торчит

А что здесь не аккуратно? Что здесь "торчит"? (И что вообще применительно к веб-серверу означает слово "торчит"?)

и все удобно работает.

А что здесь неудобно работает? И каким образом вообще удобство работы связано с тем, можно ли сделать запрос к служебному файлу со стороны клиента или нет?