Система размещения файлов

[@So1]

Нууу… молодец?

[@smkuzmin]

А вы — тоже молодец?

[@prairie_dog]

Держите нас в курсе!

[@smkuzmin]

Не сомневайтесь!

[@smkuzmin]

Уведомляю вас, так как вы подписаны на новости проекта:

Устранены жуткие баги:
1. Запрещена интерпретация PHP.
2. Теперь файлы .php,.cgi,.pl загружать нельзя.

[@ingiboy]

может стоило обойтись запретом интерпретации и исполнения? файлообмен получается порепаным — не все можно закачать, придется извращаться с переименованием либо архиваторами

[@smkuzmin]

Ну, не так уж много и запрещено — всего-то три типа. Если у вас будет специфическая необходимость загружать именно эти файлы — можете просто убрать проверку. Могу вынести список запрещенных расширений в конфиг для удобства. Что скажете?

[@smkuzmin]

Да и сам думаю, что так будет во всех смыслах лучше. Исправлю.

[@smkuzmin]

Исправил — теперь список запрещенных расширений в конфиге.

[@smkuzmin]

Побаловаться можно здесь: smkuzmin.16mb.com/fas/
Логин/пароль: fas

[@Mithgol]

Не понимаю, почему этот комментарий минусуют.

[@aivus]

Может быть потому, что
Invalid user. Please login

[@NastyIII]

неправда, спс за «Short_-_Modern_Web_Standards.pdf»

[@aivus]

Уже всё ок. Тогда не пускало почему-то.

[@DYPA]

smkuzmin.16mb.com/fas/files/fas-fb92f9147037f47dcf29c96dbc68154d-phpinfo.php — вот php файлы то зачем было разрешать интерпретировать? ;)

[@smkuzmin]

Спасибо за обнаружение бага. Если не трудно, подскажите решение.

[@DYPA]

echo «php_flag engine off» >> .htaccess

[@smkuzmin]

Спасибо большое! Помогло. Все исправил, архив перезалил.

[@DYPA]

что делает этот код:

if($username >= '!' && $password >= '!')
{
  setcookie('username',$username);
  setcookie('password',$password);
}

почему такое использовано такое странное условия для проверки наличия символов в строке?
почему не пароль не шифруется?

[@smkuzmin]

Предложите пожалуйста другие условия. С удовольствием их поменяю на ваши, если они будут более правильны. Пароли не шифруются, потому что для меня это не было актуально.

[@MaxHero]

Функция empty?

[@smkuzmin]

Ну, я все же думаю, что username, да и password тоже, должен быть больше, чем пробел (код 32). Ну и, само собой, больше чем восклицательный знак (код 33). Но это мое мнение. А по большому счету, сойдет конечно и empty…

[@MaxHero]

Вы ведь не регистрацию пользователю проводите, а лишь принимаете данные, которые затем сравниваете с данными в БД (логин/пароль). Зачем тут такие сложности, не пойму. В популярный cms/системах, написанных на фреймворках довольно часто встречается приблизительно следующий код:

$model = User::findByLogin($username);
if($model && $model->checkPassword($password))
{
    User::login($model);
}

[@smkuzmin]

Да, это проверка. Но о какой сложности вы говорите? Что может быть проще сравнения строк?

[@Neuronix]

Это очень важно и для нас всех тут присутствующих! Весьма захватывающая статья!

[@smkuzmin]

Рад, что вам понравилось.

[@jack7277]

То был сарказм. Ваш кэп.

[@smkuzmin]

Вы очень саркастичны. Ваш smkuzmin.

[@ionflux]

Вам там по ходу хостинг поломали.

[@smkuzmin]

По ка нет :-)

[@ShadowHacker]

Кои8 используешь? Олдфажно)

[@smkuzmin]

Я к нему привык. Он меня полностью устраивает.

[@smkuzmin]

Спасибо за минус к комменту — я к ним тоже привык. Они меня тоже полностью устраивают.

[@PQR]

Исходник под какой лицензией? Юнит-тесты есть?

[@smkuzmin]

Лицензию сам себе какую-нибудь придумайте — мне пофиг.

[@kafeman]

WTFPL? :-)

[@smkuzmin]

Вы правы, эта подходит.

[@zenden2k]

Это даже не смешно.

[@aectann]

Не дает залогиниться (

[@mentatxx]

Для начала не стоит давать загружать php. И не стоит выполнять скрипты (в тч php) в загруженных файлах. Настройте наконец ваш Апач.

Теперь рассмотрим ваш phpinfo. Для сохранности он помещен в архив (пока вам умельцы не залили шел и все не снесли, например).
Использовать в php.ini auto_append_file и auto_prepend_file — плохая идея.
А вот стоит ли в таком проекте держать включенным allow_url_fopen — сомнительно.

Держать в куках логин и пароль прямым текстом — плохая идея.

[@smkuzmin]

Спасибо, за развернутый список недочетов. Я им обязательно займусь. Интерпретацию php я уже исправил — еще раз спасибо DYPA.

[@DeTerminator]

Заберите у него инвайт!

[@smkuzmin]

Вам что, не весело?

[@barker]

Не знаю как кто, а я поржал!

[@Magiq]

вот такие люди, как автор, улучшают жизнь остальным! спасибо, именно то что я искал годы.

[@smkuzmin]

Рад, что вам пригодилось. Собственно, я разместил исходники именно здесь только ради этого. Я конечно, понимаю, что багов в сем творении много — писалось давно. Но оно работает — это раз. А исправить баги для профи — не проблема, учитывая небольшой объем кода — это два. Как-то так…
Всем отдельное спасибо за дельные комментарии :-)

[@maximw]

Кажется, зажигается новая звезда Хабра.
Бумбурум, Мицгол, Ализар… У каждого свой путь к популярности, свой стиль.
smkuzmin выбрал путь «великого велосипедиста».

Все это как минимум позитивно :)

[@smkuzmin]

Да, спасибо. Вы рубите фишку.

[@dima_mendeleev]

А мне нравиться холиварная фраза «Веб-макаки — не программисты»=)
может ПоХаПэ — это диагноз?

[@smkuzmin]

Напишите тоже самое, только на c++. Я вас очень прошу…

[@dima_mendeleev]

Зачем?
Вы что-то хотите этим сказать? Прошу вас больше конкретики.

[@smkuzmin]

А что вы хотели сказать? Что — те, кто пишет на PHP — макаки, а те, кто на C++ — программисты? Поконкретнее, прошу вас.

[@ingiboy]

ПоХаПэ != Конкретный_ПоХаПист, не?)

[@dima_mendeleev]

Сравниваете языки и людей?
Параша!

[@dima_mendeleev]

Простите пожалуйста, я погорячился.
Проблема в том, что если бы этот пост не был размещен в «Программирование» я бы его даже не заметил.
Но простите, что общего между например лямбда-кубом и этой хренью описанным в статье?

Я хочу сказать, что теза «Веб-макаки — не программисты» как никогда хорошо выражается этим случаем.

ПоХаПе, Веб-разработка — пожалуйста, но не Программирование.

[@smkuzmin]

Извините, что задел вашу профессиональную гордость программиста своей хренью.