Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 31
либо в _dev прописываем фильтрацию по ip
а точнее не убираем её полностью — она там прописана по умолчанию, но все же правильнее вообще не деплоить на продакшен дев окружение
плюс переименовать файл _dev во что-нибудь непредсказуемое для надёжности
хе, а что мешает для dev сделать стандартную авторизацию? если у вас в проекте sfguard есть, то работы на 5 минут. Набросать роутинг и авторизацию в конфигах. Более того, можно пошаманить и подрубать error_reporting: <?php echo (E_ALL | E_STRICT)."\n" ?> и web_debug: on только для суперадминов, тогда вобще можно стирать dev.
> Т.к. проект открытый можно посмотреть состояние кода для любой версии и посмотреть уязвимости в багтрекере.
Насчет посмотреть уязвимости в багтрекере — это вовсе не следствие открытости проекта. В той же джанге уязвимости просят сообщать на ящик security@djangoproject.com, к которому есть доступ только у очень ограниченного круга доверенных разработчиков. А если уязвимость подтверждается, вся разработка останавливается до тех пор, пока уязвимость не будет закрыта в транке, текущем релизе и еще 2х предыдущих релизах.
Насчет посмотреть уязвимости в багтрекере — это вовсе не следствие открытости проекта. В той же джанге уязвимости просят сообщать на ящик security@djangoproject.com, к которому есть доступ только у очень ограниченного круга доверенных разработчиков. А если уязвимость подтверждается, вся разработка останавливается до тех пор, пока уязвимость не будет закрыта в транке, текущем релизе и еще 2х предыдущих релизах.
Пятый в Яндексе — «РОМА — доделай до ума» :)
Не вижу. Региональная выдача яндекса видать :)
уже 8ая :)
www.poiskua.net/frontend_dev.php/
www.poiskua.net/frontend_dev.php/
В dev на хосте, отличном от 127.0.0.1, можно запустить только тогда, когда чьи-то шаловливые ручки залезли в *_dev.php и убрали заботливо поставленную защиту
Это не уязвимость Symfony. Защита от выстрела себе в ногу присутствует, но особо одаренные личности ее успешно удаляют.
www.pallada.ru/frontend_dev.php
50 запросов на страницу — это мощно =) еще немного и получится bitrix
symfony уважаю, ничего личного
50 запросов на страницу — это мощно =) еще немного и получится bitrix
symfony уважаю, ничего личного
В битрексе половина запросов не дублируется :D
И register_globals on, интересно зачем? :)
Ха, я 178 видел — www.ontariogreenspec.ca/frontend_dev.php/, не зря я интуитивно не люблю симфони и ORM!
Тут уж просто кривизна рук самого программиста, а symfony- то не причем:)
Это, мне кажется, проблема ORM (пропел там вроде). Если я делал $object->countArtists() то предполагал что оно будет кешировать результат, а не каждый раз делать SELECT COUNT(*) FROM. Когда я увидел что это не так, пришлось самому дописывать такой функционал, что не доставляло ни разу.
Вообще удивляет, как так, вроде использование подобного фреймворка говорит о каком-то профессионализме, и тут такие ляпы =\
Бросьте, использование фреймворка ни о чём не говорит. К тому же ляпы и баги свойственны любому сколь-нибудь сложному программному продукту. Не может программист не делать ошибок.
Я не про ошибки типа как www.pallada.ru/frontend_dev.php, где половина запросов дубли.
А про убирание защиты, которая есть по умолчанию.
А про убирание защиты, которая есть по умолчанию.
И помимо сноса или блокирования *_dev.php не забываем снимать в настройках / переопределять default модуль. Также накрываем 500 ошибку (создаем свою ошибку для нее) и, если используется check_lock и предполагается блокирование модулей (что скорее всего), — unavaliable. Про 404 я уж совсем молчу — ее хоть в settings не пропустишь.
По-хорошему, вдобавок убираем backend.php из продакшна (мне нравится вариант с поддоменом). А совсем по-хорошему — лезем сюда и побеждаем остальные мелочи, выдающие symfony (будь то имя дефолтной куки или что ещё).
По-хорошему, вдобавок убираем backend.php из продакшна (мне нравится вариант с поддоменом). А совсем по-хорошему — лезем сюда и побеждаем остальные мелочи, выдающие symfony (будь то имя дефолтной куки или что ещё).
>>кто-нибудь запускал это в Windows?
да, я этим пользуюсь из-под windows
да, я этим пользуюсь из-под windows
Можно в двух словах откуда взять бинарник и нужны ли для работы какие-то махинации?
Вот здесь написал ответ: avorobiev.habrahabr.ru/blog/76932/
Не смог разместить в блоге symfony из-за кармы.
Не смог разместить в блоге symfony из-за кармы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Возможность получить информацию о сайте на symfony