globik Aug 9 2014 at 13:10

Используете test.php на своем сайте и Google Chrome?

1 min

37K

Website development*Programming*Google Chrome

+31

Comments 28

rushter Aug 9 2014 at 13:45

Хороший повод отвыкнуть от плохой привычки написания подобных тестов.

igordata Aug 9 2014 at 16:10

Это не тесты. Это скорее эксперименты.

rushter Aug 9 2014 at 20:00

Это повод оставлять их на продакшене? Хром не делает предзагрузку с локалхоста, там тестируйте сколько влезет.

UksusoFF Aug 9 2014 at 20:04

Ну как бы у некоторых есть тестовые VPS\VDS. Да и к локалхосту может быть привязан домен, причем тут продакшн?

rushter Aug 9 2014 at 20:08

А у некоторых есть крупные сайты с test.php где лежит phpinfo, который позволяет провернуть LFI атаку через phpinfo (есть вектор такой редкий).
А всё почему? Потому что деплоят все файлы. Давайте не будет разбирать все возможные варианты, хорошего в этом мало :).
Даже если это на тестовой vds хранить, то папку лучше закрывать паролём, на тестовых vps бывают базы с реальными данными.

datacompboy Aug 10 2014 at 04:53

что-то вы путаете. phpinfo максимум что позволяет — дать информацию о местоположении, которое может быть полезно для LFI.
через сам <?php phpinf(); ?> скрипт ничего сделать нельзя.

rushter Aug 10 2014 at 09:37

rdot.org/forum/showthread.php?t=1134
Напутал ли? :)

questor Aug 10 2014 at 10:58

rdot.org использует недействительный сертификат безопасности. Сертификат истёк 04.12.2013 16:38. Текущее время — 10.08.2014 14:53. (Код ошибки: sec_error_expired_certificate)

какой позор…
полгода давно прошло — до сих пор никто не пошевелился.

rushter Aug 10 2014 at 11:03

Форум полумёртвый, у основателей появилось много работы и заниматься им некому.
Но это не значит что из-за этого информация там устарела :)

questor Aug 10 2014 at 11:25

Но это не значит что из-за этого информация там устарела :)

Мой комментарий касался только просроченного сертификата. Это два совершенно разных вопроса: а) сертификат просрочен б) информация некачественная или устарела. Я бы прямо написал, если бы видел связку от «а» к «б».

datacompboy Aug 10 2014 at 11:39

да, напутал. единственное, зачем там нужен phpinfo — это чтобы была страница, которая читает $_FILES чтобы файл «визуализовать» отправленный через $POST файл.
это способ загрузить «свой» файл, который уже инклудить через дырявый по LFI файл.
сам phpinfo — безопасен. а при наличии safe dir то еще и бесполезен — так как до move_uploaded_file его содержимое недоступно.

rushter Aug 10 2014 at 11:48

Ну да, я немного не ясно выразился, но написал, что это редкий вектор.
Способ этот сам давно проверял, поэтому понимаю как он работает.

datacompboy Aug 10 2014 at 14:27

так что вы так же знаете, что пойдёт любой другой скрипт, который обращается к $_FILES — например, загрузка аватара.
так что он далеко не всегда даёт какого-либо плюса.

taliban Aug 11 2014 at 08:26

Вы хотите сказать что человек может вставить что-то в пхпинфо, имея при этом доступ к консоли сервера? А ничего что имея доступ к консоли сервера можно все что угодно сделать? Вплоть до того что исправить скрипты сайта?

zomby Aug 9 2014 at 15:25

Вы предлагаете разработчикам отключить эту опцию, чтобы они не видели глюки, которые появятся у пользователей?

dbanet Aug 9 2014 at 15:35

Зачем пользователям запускать test.php на выполнение?

globik Aug 9 2014 at 15:41

rushter, в принципе, правильно отметил, что test.php – это, наверное, не очень хороший стиль программирования. Но если для программиста еще допустимо выполнять какие-либо активные действия в отладочном скрипте test.php по обыкновенному GET-запросу, то в обычных скриптах, к которым имеет доступ любой пользователь, поисковая система или бот скайпа, такой запрос не должен приводить к каким-либо серьезным изменениям на сайте.

Envek Aug 9 2014 at 16:40

Решение, как и писали выше, — не делать ничего неидемпотентного по GET-запросам. Если что-то меняется — то только POST/PUT/PATCH/DELETE запросы. И никаких глюков не будет.

datacompboy Aug 9 2014 at 17:49

Вы еще предложите писать эффективный код, чтоб GET страницы не грузились по 40 секунд.

Envek Aug 10 2014 at 07:17

Это совсем другая история… но опять же — вызовется один и тот же скрипт дважды, ну потормозит немного — ничего страшного не произойдёт.

datacompboy Aug 10 2014 at 07:33

хром открывает до 6-8 соединений к одному хосту. в случае апач-prefork с maxclientvhost=10 получается, что 2 человека работают с сайтом, остальные тупят.

uzzz Aug 11 2014 at 07:26

Вы путаете идемпотентность и безопасность (safe methods). PUT и DELETE идемпотентны.

zoonman Aug 9 2014 at 16:47

Ребята, есть же Selenium (и не только) для тестирования на стороне пользователя. Тем более, что его даже к PHPUnit можно прицепить.

macik_spb Aug 9 2014 at 19:05

Тут, кажется, все же речь немного о другом.

reaferon Aug 9 2014 at 20:19

Даже при отключенной опции страница /test.php может срабатывать несколько раз. В свое время долго искал баг в своем «эксперименте», а вина лежала на каком-то SEO-расширении Хрома, который при обновлении страницы самостоятельно её запрашивал для каких-то своих темнейших нужд.

bulbazaur Aug 10 2014 at 19:34

У меня так было с Firebug в Chrome. Как же я бесился, когда не мог понять, почему у меня появляется две записи в базе данных, когда я переходил на страницу только один раз!

ilyaplot Aug 9 2014 at 21:14

я год назад наткнулся на двойное выполнение скриптов. После меня ходил гуглобот. Теперь тестовые скрипты выполнчю в консоли. Кстати, таймаут тоже был причиной перехода в консоль.

sekrasoft Aug 10 2014 at 08:21

Мне довелось про подобное читать в dev разделе одного известного развлекательного сайта. Посещаемость у них и так была приличная, а после того, как у пользователей обновился браузер на умную версию, кривая трафика резко подскочила — пришлось им очень быстро с этим разбираться.