вторник, декабря 27, 2011

мой вклад в законы Мэрфи

Любая CMS стремится сделать разработку сайта настолько простой, чтобы легче, быстрее и эффективнее было бы создать сайт без неё.

пятница, декабря 23, 2011

Битрикс: ощущения

Попроникал немного в Битрикс, в нутре ейное.

Главное ощущение: эта система очень похожа на российские законы. Если делать всё как положено, то никогда ничего не сделаешь как надо. Поэтому делай сразу как не надо, но чтобы поменьше последствий.

Попользовался API, поделал кое-какие выборки осторожненько. Главным образом модифицированной копипастой из документации. Попутно постоянно нарываясь на дописки: этот интерфейс оставлен для совместимости. Пользуйтесь новым интерфейсом... и ссылка. Ну йо-майо - и давай переписывать.

Заглянул в базу данных через phpMyADmin, перекрестился и сказал: «Чур меня» :) Каталог товаров, справочные подсказки из стандартной инсталляции, введённые мною записи инфоблоков ― всё хранится в одной таблице. Это, чтобы достать запись об адресе офиса, сервер будет лопатить таблицу, где заодно несколько десятков тысяч записей о товарных позициях? Экхм...

Одновременно начал испытывать и некоторое удовольствие наконец.

Узелок на память: не пользоваться встроенным редактором PHP, бо он сохатит код. Вставляет какие-то нелепые кавычки и отсебятину, которой я отродясь там не писал. Обновившись, страница говорит: пунтакс еррор, баран! :Е Грррррр.

понедельник, декабря 19, 2011

Bitrix: осторожность необходима.

Давненько не писал в блог: некогда было.

Впервые связался с Битриксом.

Исследуя результат запроса к БД в этой, без сарказма, большой и серьёзной системе, обнаружил, что сей результат включает зачем-то такие вещи, как реквизиты подключения к серверу данных.

Поэтому, хотя разрабатываемый сайт не имеет ссылок извне на себя и без точного адреса не может быть обнаружен, всё-таки включаю такую бомбу, как

print_r($arResult);

на очень короткое время, получаю страницу с выпотрошенным результатом и тут же отключаю.

Но интереса ради решил проверить, все ли коллеги-разработчки так благоразумны.

Погуглил: ************** (я не вандал, поэтому звёздочки). Это поле, присутствующее в самой стрёмной части результата.

Нашёл массу попаданий. Прошёл по ссылкам, просмотрел исходники страниц. В ряде случаев действительно обнаружил в них дамп результата, закомменченный или выведенный в скрытый элемент. Почерпнул SQL-хост, базу данных, имя и пароль.

Ребят, ну что же вы творите. Ваши сайты очень часто хостятся на коммерческих площадках. Хостеры очень часто предоставляют phpMyAdmin. Достаточно ведь просто туда прологиниться, чтобы слить ваши данные, или подменить их своими, или продублировать админский аккаунт, или просто вывести сайт из строя.

Аналогично и к разработчикам Битрикса. О таких подлянках надо предупреждать большими красными надписями поперёк всей документации :)

Поиск по этому блогу