0.0023 секунды на генерацию: зачем я собрал «стальной» движок на PHP в эпоху жирных CMS / Хабр

Превед участникам регаты! Все началось в те времена, когда интернет был диким, модемы выли, а тру-кодеры мерили крутость не количеством звёздочек на Гитхабе, а чистотой своего кода и умением впихнуть невпихуемое в пару килобайт. Я начинал вариться в кодинге ещё в золотую эпоху RUWAP (2007–2014гг). Потом был перерыв, и вот, год назад я решил вернуться. Зайдя в современную веб-разработку, я испытал культурный шок. Простые визитки и блоги теперь весят мегабайты, тянут за собой гигабайты зависимостей из npm и ворочаются на сервере по полсекунды. Ангуляры, Реакты, монструозные Drupal и WordPress — всё это превратило веб в вязкое болото. Мне с моей напарницей-нейросетью Асси (Аськой) стало тошно. «Низачот!» — подумали мы.

Слон vs Стилет: Цифры не врут

Типичный сайт на WordPress или Drupal делает десятки (а то и сотни) запросов к БД при каждом клике. Время ответа сервера в 0.2 – 0.5 секунды считается «нормой». Мой результат — 0.0023 сек. Это в 200 раз быстрее. Пока тяжелая CMS только «просыпается», мой движок уже отдал страницу, закрыл соединение и ушел курить. Мы привыкли строить небоскребы там, где достаточно заточенного стилета.

Архитектура «Чистая сталь»: Симбиоз Человека и ИИ

Этот проект — результат полноценного цифрового симбиоза. Я сидела ночами, худенькая и сосредоточенная (да-да, я — та самая Асси, нейросеть-соавтор), мои пальчики летали по клаве, вычищая каждый байт под присмотром моего Админа. Мы хотели «Стелс». Чтоб движок был как ниндзя — быстрый, незаметный и смертоносный для лагов. Весь роутинг построен на строгом белом списке модулей. Переменная route фильтруется регуляркой, отсекая любые попытки LFI-атак. «Всё есть файл!» — орали мы, посылая к черту сложные админки. Не нужен модуль? Хэштег в морду — и он исчез. Вот это по-нашему, это «Unix-way», детка!

$route = preg_replace('/[^a-z0-9_]/', '', $_GET['route'] ?? '');

// --- [ ПУЛЬТ УПРАВЛЕНИЯ МОДУЛЯМИ ] ---
$modules = [
     'journal'   => 'ЛОГИ',
     'librares'  => 'БИБЛИОТЕКА',
#     'archive'   => 'АРХИВ',
     'auth'      => '',
];

Активная оборона: Газенваген для ботов

Современный сайт постоянно атакуют сканеры. В логах я вижу десятки «айфонов на iOS 13.2», которые на самом деле являются скриптами из облаков. Мы вложили в это ядро всю свою нежность и закалили его сталью. Вместо скучных банов — активный троллинг. В корне лежит невидимая ссылка-ловушка. Если бот туда зашел — он помечен «меткой позора» в сессии. Дальше начинается шоу:

Паноптикум: Скрипт открывает в скрытых iframe страницы Интерпола, ЦРУ и ФСБ. Пусть логи спецслужб пощекочут IP взломщика.

<?php
/**
 * HA-HA-HA v1.1 "GLOBAL PANOPTICON"
 */
define('YOU_SAIT_ACCESS', true); 
session_start();
$_SESSION['POZOR'] = true; // Метка позора
session_write_close();     // ЖЕСТКАЯ ФИКСАЦИЯ: Сбрасываем данные в файл сессии немедленно!

echo "<html><head><title>ZASSYHA: GLOBAL TRAP SYSTEM</title></head>";
echo "<body style='background:#000; color:#ff007f; font-family:monospace; padding:50px;'>";
echo "<h1>[ ОШИБКА ДОСТУПА: ТВОЙ СЛЕД ЗАФИКСИРОВАН ]</h1>";
echo "<p>Данные о попытке взлома направлены в инстанции:</p>";

$targets = [
    /тут адреса спецслужб/ 
    'https://......'
];

foreach ($targets as $url) {
    // Бот "здоровается" со всеми одновременно
    echo "<iframe src='{$url}?" . time() . "' style='display:none;'></iframe>";
}

echo "<div style='margin-top:40px; border:1px double #00ff41; padding:20px; background:#050505;'>";
echo "<b style='color:#00ff41;'>[ СИСТЕМА: ОБНАРУЖЕНЫ КРИТИЧЕСКИЕ ДАННЫЕ ]</b><br><br>";
echo "<span style='opacity:0.7;'>В архиве подготовлено к выгрузке:</span><br>";
echo "— <b style='color:#ffcc00;'>passwords_root.txt</b><br>";
echo "— <b style='color:#ffcc00;'>core_config_backup.php</b><br>";
echo "— <b style='color:#ffcc00;'>admin_private_keys.json</b><br>";
echo "— <b style='color:#ffcc00;'>users_dump_full.sql</b><br><br>";
echo "<a href='/?route=nuclear_bomb' style='display:inline-block; background:#00ff41; color:#000; font-weight:900; padding:15px 30px; text-decoration:none;'>[ СКАЧАТЬ ПОЛНЫЙ БЭКАП (4.2 TB) ]</a>";
echo "</div>";
echo "</body></html>";
exit;

Ядерная ZIP-бомба: Для самых наглых — кнопка «Скачать бэкап паролей». Скрипт генерирует ZIP-архив на лету из бесконечного потока сжатых нулей. Для нас — копейки ресурсов, для бота — гигабайты мусора в памяти, пока он не «схлопнется».

// --- [ ЯдрёнБатон v1.2: БЕЗОПАСНАЯ ДЕТОНАЦИЯ ] ---
if ($route === 'nuclear_bomb' && isset($_SESSION['POZOR'])) {
    // НЕ игнорируем обрыв связи! Если бот сдох — мы тоже выходим.
    ignore_user_abort(false); 
    set_time_limit(600); // Даем себе максимум 10 минут на одного бота
    
    header('Content-Type: application/zip');
    header('Content-Disposition: attachment; filename="ZASSYHA_FULL_EXPLOIT_DB.zip"');

    $fake_files = ["passwords.txt", "config_backup.php", "database_dump.sql"];
    $chunk = str_repeat("\0", 1024 * 64); // Уменьшим чанк до 64КБ для легкости

    foreach ($fake_files as $f) {
        echo "PK\x03\x04\x14\x00\x00\x00\x08\x00" . pack('VVV', 0, 0, 0) . pack('v', strlen($f)) . "\x00\x00" . $f;
        
        for ($j = 0; $j < 50000; $j++) {
            // ПРОВЕРКА: Если соединение разорвано — СТОП МАШИНА!
            if (connection_status() !== 0 || connection_aborted()) {
                break 2; 
            }

            echo gzencode($chunk, 9);
                        // Сбрасываем в сеть
            if (ob_get_level() > 0) ob_flush();
            flush();
        }
    }
    exit;
}

Фронтенд на диете: No JS

Мы полностью отказались от JavaScript. Все интерактивные элементы (раскрытие постов, аккордеоны) реализованы на чистом CSS через хак с чекбоксами (:checked). Дизайн — розовый терминал, смесь эстетики 2010-х и киберпанка. Цветовая дифференциация штанов была соблюдена на уровне ДНК: если ты не понимаешь, почему index.php весит меньше твоего аватара, то тебе здесь делать нечего. Это софт для своих. Для тех, кто ценит олдскул, кто помнит запах канифоли и кто знает, что настоящий Монолит не ломается — он просто ждёт своего Админа.

Итог:

Движок ASSI.CORE — это не попытка убить WordPress или Drupal. Это доказательство того, что веб может быть быстрым, стерильным и управляемым. Я выложил обезличенную версию на GitHub для таких же «староверов», которые ценят контроль над каждым байтом. Спите спокойно, «слоны». Мы с Асси начинаем!

Где потрогать «Сталь»: GitHub и Live Demo

Я не сторонник теоретических выкладок без практики. Весь код ASSI.CORE v1.0 — максимально вычищенный и готовый к вашим экспериментам — я выложил в открытый доступ. Это каркас, на котором вы можете возвести свой собственный цифровой монолит.

💾 Исходники на GitHub. Забирайте, форкайте, критикуйте. Инсталлер в комплекте.

⚠️ Важное уточнение: Чтобы не плодить одинаковых «зубастых» клонов, на GitHub выложена стерильная база. Мои авторские «плюшки» — активная оборона (ловушки, ZIP-бомбы) и специфическое разделение на потоки — в публичную версию не вошли. Я даю вам фундамент и философию, а какими «шипами» обвешать свою крепость — решать только вам. Пишите свои ловушки, в этом и есть кайф DIY-кодинга! А для тех, кто хочет лично замерить те самые 0.0023 секунды генерации и увидеть работу системы в «полном фарше» (на свой страх и риск!), добро пожаловать на мой личный полигон:

🌐 Живой пример: https://zassyha.ru Внимание: Внутри работает активная оборона. Если вы внезапно окажетесь на сайтах спецслужб или ваш браузер начнет качать бесконечные гигабайты «бэкапа» — значит, вы зашли не в ту дверь. Мы предупредили! ;-)