Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Релиз языка программирования PHP 7.3" | +/– | |
Сообщение от opennews (?), 06-Дек-18, 22:17 | ||
После года разработки представлен (http://php.net/archive/2018.php#id2018-12-06-1) релиз языка программирования PHP 7.3 (http://php.net/). Новая ветка включает серию новых возможностей, а также несколько изменений, нарушающих совместимость. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
5. Сообщение от Аноним (5), 06-Дек-18, 22:35 | +14 +/– | |
> Прекращена поддержка платформы BeOS. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
9. Сообщение от Аноним (9), 06-Дек-18, 23:06 | +21 +/– | |
Язык весьма неплохой. В каждой функции есть своя изюминка. Например, при помощи file_exists() можно не только проверить существование файла, но и начать выполнять код, заботливо предоставленный третьей стороной. Удобная фича, рекомендую. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #10, #31, #64, #127 |
10. Сообщение от Аноним (10), 06-Дек-18, 23:14 | +5 +/– | |
То ли дело хипстота, помешанная на магии современных ЯП и фреймворков, не позволяющих бедолагам стрелять себе в ногу даже если захотят. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 Ответы: #29 |
11. Сообщение от Аноним (11), 06-Дек-18, 23:15 | +8 +/– | |
> Прекращена поддержка платформы BeOS | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
12. Сообщение от Аноним (12), 06-Дек-18, 23:28 | +/– | |
> При вызове функций и методов теперь допускается оставление запятых в конце списка аргументов, например, "unset($foo, $bar, $baz,)"; | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #13, #14, #15, #17, #21, #40, #87 |
13. Сообщение от Пользователь Debian (?), 06-Дек-18, 23:32 | +9 +/– | |
чтобы( | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
14. Сообщение от КГБ СССР (?), 06-Дек-18, 23:32 | +/– | |
>> При вызове функций и методов теперь допускается оставление запятых в конце списка аргументов, например, "unset($foo, $bar, $baz,)"; | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
15. Сообщение от Аноним (15), 06-Дек-18, 23:38 | +10 +/– | |
unset( | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
17. Сообщение от Антон (??), 06-Дек-18, 23:53 | –1 +/– | |
слизали с js, хотя может в js тоже взяли откуда то. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 Ответы: #18, #134 |
18. Сообщение от Q2W (?), 07-Дек-18, 00:11 | +1 +/– | |
В perl'е это уже кучу лет можно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #17 Ответы: #25, #42 |
19. Сообщение от Ilya Indigo (ok), 07-Дек-18, 00:22 | –1 +/– | |
> При сборке с опцией configure --with-password-argon2 в функциях password_hash()... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #24, #26, #47 |
21. Сообщение от Григорий Федорович Конин (?), 07-Дек-18, 00:42 | +1 +/– | |
затем же зачем в массиве можно оставлять запятую :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
24. Сообщение от blblblblbl (?), 07-Дек-18, 01:19 | +3 +/– | |
У тебя что, соль какая-то особая, забористая? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #46 |
25. Сообщение от Аноним (25), 07-Дек-18, 01:20 | –1 +/– | |
Write-only language. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 Ответы: #33, #34 |
26. Сообщение от blblblblbl (?), 07-Дек-18, 01:21 | +/– | |
> Лучше бы в hash_hmac() алгоритмы bcrypt и argon2(i|id|d) завезли. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #49 |
28. Сообщение от java developer (?), 07-Дек-18, 02:25 | +2 +/– | |
отличный релиз замечательного инструмента. Всех поздравляем! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
29. Сообщение от Аноним (29), 07-Дек-18, 02:45 | +2 +/– | |
Обидно оказаться с револьвером, когда у кого-то пулемёт на турели. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 Ответы: #44 |
31. Сообщение от ъ (?), 07-Дек-18, 03:20 | +2 +/– | |
> Например, при помощи file_exists() можно не только проверить существование файла, но и начать выполнять код, заботливо предоставленный третьей стороной. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 Ответы: #60, #62, #72 |
33. Сообщение от Аноним (33), 07-Дек-18, 04:48 | +/– | |
Если у Вас проблемы с чтением такого(https://github.com/bugzilla/bugzilla/blob/5.0/editusers.cgi) кода, то и код современного PHP, понять Вы не сможете. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 |
34. Сообщение от Аноним (34), 07-Дек-18, 05:50 | +2 +/– | |
Write-only аноним | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 |
39. Сообщение от Аноним (39), 07-Дек-18, 08:00 | +4 +/– | |
В целом, PHP стал похож на нормальный язык. В него бы ещё объектно-ориентированные примитивные типы и коллекции, да перегрузку операторов и можно жить. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #43, #45, #48 |
40. Сообщение от Rom1 (??), 07-Дек-18, 08:16 | +/– | |
Для удобства | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
42. Сообщение от Антон (??), 07-Дек-18, 09:18 | +1 +/– | |
мне этого сильно не хватает в SQL. Я уже задолбался эту последнуюю запятую ставить и удалять | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 Ответы: #66 |
43. Сообщение от nobody (??), 07-Дек-18, 09:23 | –1 +/– | |
Боюсь, что поезд ушёл. Ещё и оставив за собой огромный шлейф "былой славы" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 |
44. Сообщение от Онаним (?), 07-Дек-18, 09:29 | +2 +/– | |
Да ладно, в хипстерских поделках там сам рантайм обычно просто косая кирпичная кладка из говнозависимостей, подтянутых с говнореп, которые мейнтейнятся непонятно кем и непонятно как до первого залетевшего дятла. По сравнению с этим пых - эталон простоты, если композером не баловаться. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #29 |
45. Сообщение от Онаним (?), 07-Дек-18, 09:30 | +/– | |
Ну вот да, перегрузки операторов зело не хватает... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 |
46. Сообщение от Ilya Indigo (ok), 07-Дек-18, 09:32 | –1 +/– | |
Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге, а динамическая берётся из id и время регистрации, которые запрещено менять в БД, а главное только я знаю как готовить хэш, и только я знаю как его проверять! А я всегда точно знаю, каким алгоритмом он будет создан и обязательно будет проверен, а также точно какой длины он будет! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #24 Ответы: #55, #56 |
47. Сообщение от Мимокрокодил (?), 07-Дек-18, 09:34 | –1 +/– | |
http://php.net/manual/ru/function.password-hash.php | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #51 |
48. Сообщение от Аноним (48), 07-Дек-18, 09:35 | +/– | |
>ещё объектно-ориентированные примитивные типы | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 Ответы: #52 |
49. Сообщение от Ilya Indigo (ok), 07-Дек-18, 09:42 | +/– | |
> ну если так надо, берёшь С и завозишь пулл-реквестом | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
51. Сообщение от Ilya Indigo (ok), 07-Дек-18, 09:45 | +/– | |
И что? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 |
52. Сообщение от Аноним (52), 07-Дек-18, 10:09 | +/– | |
Затем, чтобы можно было сделать так $someArray-> и увидеть все методы для работы с массивами, а не гуглить их каждый раз. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #48 |
53. Сообщение от Попугай Кеша (?), 07-Дек-18, 10:25 | –3 +/– | |
Все-то я согласен с вами. И все правильно пишите. PHP плохой, PHP ужасный, функция проверки наличия файла может запускать чужой код. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #57 |
55. Сообщение от Аноним (55), 07-Дек-18, 10:42 | +3 +/– | |
> а главное только я знаю как готовить хэш, и только я знаю как его проверять | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #46 |
56. Сообщение от blblblblbl (?), 07-Дек-18, 10:43 | +/– | |
> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #46 Ответы: #61, #93 |
57. Сообщение от blblblblbl (?), 07-Дек-18, 10:58 | +1 +/– | |
Всякие расплодившиеся курсы программирования говорят, что "можно быстро взять человека и доучить с улицы" питону и гошечке. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #53 Ответы: #58, #59 |
58. Сообщение от Andrey Mitrofanov (?), 07-Дек-18, 11:01 | +1 +/– | |
> Всякие расплодившиеся курсы программирования говорят, что "можно быстро взять человека | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #57 |
59. Сообщение от Попугай Кеша (?), 07-Дек-18, 11:02 | +2 +/– | |
Есть спрос - есть предложение. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #57 Ответы: #81 |
60. Сообщение от blblblblbl (?), 07-Дек-18, 11:02 | +/– | |
не будет примера, это же очевидно | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 |
61. Сообщение от Ilya Indigo (ok), 07-Дек-18, 11:06 | +/– | |
>> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 Ответы: #68 |
62. Сообщение от YetAnotherAnon (?), 07-Дек-18, 11:06 | –1 +/– | |
30 секунд в гугле | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 Ответы: #63, #65, #71 |
63. Сообщение от blblblblbl (?), 07-Дек-18, 11:35 | +2 +/– | |
> First, an attacker must be able to plant a crafted Phar file on the targeted web server. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 |
64. Сообщение от Ilya Indigo (ok), 07-Дек-18, 11:39 | –1 +/– | |
> file_exists() | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 Ответы: #70, #78, #111 |
65. Сообщение от Ilya Indigo (ok), 07-Дек-18, 11:45 | –1 +/– | |
Вы хоть сами прочитали этот бред? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 |
66. Сообщение от vedronim (?), 07-Дек-18, 11:49 | +/– | |
А где там массивы? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #42 Ответы: #73 |
67. Сообщение от DmA (??), 07-Дек-18, 11:51 | +/– | |
тут скорей всего быстрота нужна разработки для клиента, PHP позволяет выстрелить в ногу, если клиент так хочет. О конечной стоимости владения своим сайтом клиент не сильно задумывается. Поэтому PHP -быстрее и дешевле | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #69, #113 |
68. Сообщение от blblblblbl (?), 07-Дек-18, 12:02 | +/– | |
> 1 НЕТ! Без динамической части соль бесполезна, для генерации нужна и соль и данные из БД для каждого пользователя! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #61 Ответы: #74 |
69. Сообщение от Попугай Кеша (?), 07-Дек-18, 12:10 | +1 +/– | |
Сравните сложность настройки сервера на PHP + цену за сервер с поддержкой PHP в месяц/год со сложностью настройки сервера на Java (ну или Ruby, Python, Go, что хотите) + цену за сервер на Java (или что хотите), например. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #67 Ответы: #80 |
70. Сообщение от fi (ok), 07-Дек-18, 12:13 | +/– | |
> file_exists() - бесполезная | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 Ответы: #75 |
71. Сообщение от ъ (?), 07-Дек-18, 12:17 | +1 +/– | |
> 30 секунд в гугле | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 |
72. Сообщение от userd (ok), 07-Дек-18, 12:20 | +1 +/– | |
https://www.opennet.ru/opennews/art.shtml?num=49641 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 Ответы: #77 |
73. Сообщение от ъ (?), 07-Дек-18, 12:23 | +/– | |
В инсертах, например. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 |
74. Сообщение от Ilya Indigo (ok), 07-Дек-18, 12:35 | +/– | |
>> 2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #68 Ответы: #94 |
75. Сообщение от userd (ok), 07-Дек-18, 12:37 | +2 +/– | |
Давайте вынесем шелл за скобки, и собственно содержательную часть проверки существования файла - тоже. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #70 Ответы: #82, #85, #124 |
76. Сообщение от Аноним (76), 07-Дек-18, 12:57 | +/– | |
а я ещё на 5.6 сижу :-( | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #109, #126 |
77. Сообщение от blblblblbl (?), 07-Дек-18, 13:05 | –1 +/– | |
> Уязвимость вызвана отсутствием проверки поступающих от пользователя данных | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #72 |
78. Сообщение от blblblblbl (?), 07-Дек-18, 13:07 | +/– | |
Эксплоит работает, но ровно в одном случае: данные от юзера не фильтруются и используются напрямую. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 Ответы: #108 |
79. Сообщение от Аноним (116), 07-Дек-18, 13:24 | +1 +/– | |
Прелесть PHP - в его монолитном рантайме, в котором есть почти всё, что нужно для разработки, и которому в общем случае не нужны 100500 дополнительных файлов с 100500 классов в 3 строчки для реализации задач. Впрочем, любители сделать для языка с динамической сборкой 100500 таковых всё равно живы, и то, что у них в итоге на выходе получается глючная тормозящая блоатварь - не удивительно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
80. Сообщение от blblblblbl (?), 07-Дек-18, 13:27 | –1 +/– | |
Разницы между настройкой nginx + php-fpm или nginx + python(ruby, go) нет, всё это делается за одно и то же время, виртуалка нужна и там, и там и за те же деньги. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #69 Ответы: #95, #96 |
81. Сообщение от blblblblbl (?), 07-Дек-18, 13:31 | +/– | |
> Вкачивают базу по PHP | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #59 |
82. Сообщение от SenaIVV (?), 07-Дек-18, 13:32 | +/– | |
Лет 10 точно использую кэш для сайтов, самая первая строка любого урла на любом моем сайте file_exists(файл в кэше на основании текущих переменных урла из .htaccess) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #75 Ответы: #83, #97, #133 |
83. Сообщение от blblblblbl (?), 07-Дек-18, 13:36 | –1 +/– | |
мало запросов значит, ибо file_exists при инвалидации не атомарен и можно нарваться на dog pile при генерации нового кеша | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 Ответы: #84 |
84. Сообщение от SenaIVV (?), 07-Дек-18, 13:41 | +/– | |
Абсолютно никак такое не получить. Файл просто накроется новым параллельным кодом последнего пишущего, до момента следующей валидации. Говорю же - делал многтысячные тесты, включая параллельную нагрузку - все гуд, самое быстрое решение на текущий момент, НЕТ НИЧЕГО БЫСТРЕЕ! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #83 Ответы: #86 |
85. Сообщение от blblblblbl (?), 07-Дек-18, 13:51 | +/– | |
flock не панацея | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #75 Ответы: #92 |
86. Сообщение от blblblblbl (?), 07-Дек-18, 13:54 | +/– | |
> Файл просто накроется новым параллельным кодом последнего пишущего | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #84 Ответы: #88 |
87. Сообщение от SenaIVV (?), 07-Дек-18, 13:56 | +/– | |
Это как раз-таки самое нужное, а то я давно устал уже при динамических строках массивов удалять последний символ запятой(при чем разными с..а функциями для utf-8 и windows-1251). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
88. Сообщение от SenaIVV (?), 07-Дек-18, 14:06 | +/– | |
Если писать кэш одной строкой, один раз для файла, то без разницы сколько конкурирующих писателей будет - у всех текст один и тот же. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #86 Ответы: #89, #120 |
89. Сообщение от blblblblbl (?), 07-Дек-18, 14:22 | +/– | |
Я за 20 лет столько таких кешей повидал и к чему это приводит, что до сих пор удивляюсь, зачем допускать много писателей, которые исполнители. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #88 Ответы: #90, #91 |
90. Сообщение от SenaIVV (?), 07-Дек-18, 14:33 | +/– | |
Вам ан каком языке написать - тест: 64мб памяти (которых уже никогда не увидеть на реальном даже на шаред хостинге). Одновременных сессий 100, посетителей в минуту 6000, размер страницы 800Кб, длительность теста 1 час - но проблем. Что вы видели? Где вы видели? Поделитесь с нами слепыми, плиз. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #89 Ответы: #103, #116 |
91. Сообщение от SenaIVV (?), 07-Дек-18, 14:37 | +/– | |
И да, я же вам написал - люди делающие php не сопли жуют, а пишут код. Писатели отрабатывают мгновенно (ввиду того, что записываемый текст, отработка запросов и все события системы кэшируются, ввиду их равнозначности, и все последующие писатели просто не нагружают систему в принципе). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #89 |
92. Сообщение от Sw00p akaJerom (?), 07-Дек-18, 14:42 | +/– | |
версионность через симлинк | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #85 Ответы: #98, #99 |
93. Сообщение от Sw00p akaJerom (?), 07-Дек-18, 14:44 | +/– | |
на то и коллизии существуют | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 Ответы: #100 |
94. Сообщение от Sw00p akaJerom (?), 07-Дек-18, 14:54 | +/– | |
идея не плохая с разделением на части соли, но прикол в том, что постановка задачи у вас изначально не правильна, она равносильна этому - есть шифрованные данные (пример в общем, и не обязательно про хеширование), но криптоаналитик не знает алгоритм, при взломе шифра, уже предполагается, что криптоаналитик знает все о шифре, и все тут дорлжно упираться в ключ (только он не известен), говорить об "атакующий не знает алгоритма" - смысла нет. И в вашем случае говорить, что атакующий не видит части соли прописанной в конфиге, имея доступ только к бд, всего лишь навсего "безопасность через неясность", что категорически не приемлемо в самом понятии криптографии (самообман). Ну есть только доступ к бд, а что мешает сделать на подобии load_file('config.php') и тому подобное? (немного поутрировал) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #74 Ответы: #101 |
95. Сообщение от Попугай Кеша (?), 07-Дек-18, 14:55 | +/– | |
Shared уже не использует никто? Я просто не знаю, расскажите | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #80 Ответы: #114 |
96. Сообщение от Попугай Кеша (?), 07-Дек-18, 14:56 | +1 +/– | |
Еще интересно за сколько вы Java развернете | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #80 Ответы: #123 |
97. Сообщение от Ilya Indigo (ok), 07-Дек-18, 15:02 | +/– | |
> И далее уже сразу require_once(файлкэша) exit() | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 Ответы: #102, #104 |
98. Сообщение от blblblblbl (?), 07-Дек-18, 15:07 | +/– | |
это уже детали реализации, можно и через mv, смотря что делается, новый tmp тоже надо лочить и писать правильно | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #92 |
99. Сообщение от blblblblbl (?), 07-Дек-18, 15:09 | +/– | |
т.е. если делаешь демона, то симлинк тут никаким боком, в остальном страдать версионностью можно разными способами :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #92 |
100. Сообщение от blblblblbl (?), 07-Дек-18, 15:20 | +/– | |
какова вероятность коллизии у bcrypt с blowfish или argon2? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #93 Ответы: #105 |
101. Сообщение от Ilya Indigo (ok), 07-Дек-18, 15:22 | +/– | |
Я с вами не согласен. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #94 Ответы: #106 |
102. Сообщение от SenaIVV (?), 07-Дек-18, 15:23 | +1 +/– | |
Нет, у меня такой ситуации не может быть, что файл есть, но не доступен для чтения - в этом и смысл и скорость конкурентной записи. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #97 Ответы: #107 |
103. Сообщение от blblblblbl (?), 07-Дек-18, 15:26 | +/– | |
я никого уговаривать не собираюсь, делайте как хотите, размер памяти тут не при чём | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #90 |
104. Сообщение от SenaIVV (?), 07-Дек-18, 15:30 | +1 +/– | |
И, кстати, на счет скорости проверки наличия - не все так очевидно. Я до теста считал, что прямое включение без проверки наличия файла и код в обработчике ошибок - быстрее (без кэширования, первый запрос такого типа отрабатывает быстрее, чем первая проверка наличия файла). Но при повторном вызове, file_exists сразу начинает выигрывать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #97 |
105. Сообщение от Sw00p akaJerom (?), 07-Дек-18, 15:38 | +/– | |
> какова вероятность коллизии у bcrypt с blowfish или argon2? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #100 Ответы: #110 |
106. Сообщение от Sw00p akaJerom (?), 07-Дек-18, 15:50 | +/– | |
> Я с вами не согласен. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #101 |
107. Сообщение от Ilya Indigo (ok), 07-Дек-18, 15:59 | +/– | |
> Нет, у меня такой ситуации не может быть, что файл есть, но | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #102 |
108. Сообщение от Ilya Indigo (ok), 07-Дек-18, 16:04 | –1 +/– | |
> Эксплоит работает, но ровно в одном случае: данные от юзера не фильтруются | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #78 |
109. Сообщение от DmA (??), 07-Дек-18, 16:28 | +/– | |
провинциал :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #76 |
110. Сообщение от blblblblbl (?), 07-Дек-18, 16:46 | +/– | |
> ровно такая же как и md5, все зависит от битности | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #105 Ответы: #112 |
111. Сообщение от пох (?), 07-Дек-18, 16:48 | –1 +/– | |
> file_exists() - бесполезная ф-ия, так как не проверяет доступен ли файл может он существует, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 |
112. Сообщение от blblblblbl (?), 07-Дек-18, 16:49 | +/– | |
Собственно я к тому, что любой хеш нам только даёт возможность распознать утечку и инициировать смену паролей за разумное время, но не даёт 100% гарантии защищённости. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #110 |
113. Сообщение от пох (?), 07-Дек-18, 16:54 | +/– | |
грошовому клиенту нет необходимости задумываться о "конечной стоимости" - его сайт вместе с его лавочкой (сайт иногда даже позже, если за хостинг заплачено на год вперед) через полтора года перестает существовать вместе с децльным бизнесом. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #67 Ответы: #125 |
114. Сообщение от пох (?), 07-Дек-18, 16:56 | +/– | |
скажу так - те, кто его используют, могли бы свою единственную страничку с телефоном разместить в гуглосайтах и не тратить деньги. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #95 Ответы: #115 |
115. Сообщение от Попугай Кеша (?), 07-Дек-18, 17:03 | +/– | |
Люди как не странно не любят обучаться. По привычке платят. Таких много. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #114 |
116. Сообщение от Аноним (116), 07-Дек-18, 17:16 | +/– | |
Есть пример с файловым кэшем для околореалтайм интерфейса. is_file + проверка контента (контент небольшой, порядка 1кб объёмом), 1000-1400 запросов в секунду, 2xE5520/8Gb рамы тянут такое только в путь. Причём это относительно вторичная задача на данном сервере. CPU load от этого счастья ~25%. Интерфейс - апач и fastcgi до php-fpm. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #90 Ответы: #117, #119 |
117. Сообщение от Аноним (116), 07-Дек-18, 17:20 | +/– | |
Выглядит сие высокоуровнево вот так | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #116 Ответы: #118 |
118. Сообщение от Аноним (116), 07-Дек-18, 17:25 | +/– | |
Ну и readCache с lockCache | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #117 |
119. Сообщение от blblblblbl (?), 07-Дек-18, 17:29 | +/– | |
кеш околореалтайм генерится? схема какая? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #116 Ответы: #121, #122 |
120. Сообщение от Аноним (116), 07-Дек-18, 17:35 | +/– | |
Проще делать блокировку с обновлением при чтении, проверяя на обновление соседом - тогда не придётся обновлять кэш многочисленное число раз. Инвалидация в писателе тоже простейшая - берём всё ту же самую эксклюзивную блокировку, и удаляем кэш. Далее читатели всё сами обновят без нас. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #88 |
121. Сообщение от Аноним (116), 07-Дек-18, 17:41 | +/– | |
Обновление кэша - три-четыре запроса поверх ZeroMQ к фоновым частям приложения + некоторая предобработка. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #119 |
122. Сообщение от Аноним (116), 07-Дек-18, 17:43 | +/– | |
Ну то есть писателей в моей схеме нет, читатели сами обновляют кэш. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #119 Ответы: #129 |
123. Сообщение от blblblblbl (?), 07-Дек-18, 18:11 | +/– | |
хз, у меня своего софта на джаве нет :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #96 |
124. Сообщение от fi (ok), 07-Дек-18, 18:12 | +/– | |
> используйте flock: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #75 |
125. Сообщение от blblblblbl (?), 07-Дек-18, 18:12 | +/– | |
это ж осваивание бюджета, ты что =) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #113 Ответы: #138 |
126. Сообщение от Аноним (126), 07-Дек-18, 18:17 | –1 +/– | |
У меня вот в компании только недавно подняли минимальную версию до 5.6 для выпускаемого продукта. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #76 Ответы: #139 |
127. Сообщение от Аноним (127), 07-Дек-18, 18:28 | +/– | |
https://blog.ripstech.com/2018/new-php-exploitation-technique/ | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
128. Сообщение от Аноним (127), 07-Дек-18, 18:32 | +/– | |
https://blog.ripstech.com/2018/phpbb3-phar-deserialization-t.../ | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #130 |
129. Сообщение от blblblblbl (?), 07-Дек-18, 18:35 | +/– | |
Под писателями я имею ввиду тех читателей, которые обнаружили невалидный кеш и пытаются его писать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #122 Ответы: #131 |
130. Сообщение от Аноним (127), 07-Дек-18, 18:40 | +/– | |
https://rdot.org/forum/showthread.php?t=4379 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #128 Ответы: #141 |
131. Сообщение от Аноним (116), 07-Дек-18, 18:48 | +/– | |
Читатель видит протухший кэш и пытается взять LOCK_EX. Как только LOCK_EX взят - мы ещё раз проверяем кэш, его мог обновить другой читатель. Если это случилось - мы получили обновлённый кэш, снимаем лок, и ничего не генерим. В противном случае генерим, пишем, снимаем лок. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #129 Ответы: #132 |
132. Сообщение от blblblblbl (?), 07-Дек-18, 19:15 | +/– | |
Получается, что несколько потоков могут одновременно считать новое значение, т.к. время между "Как только LOCK_EX взят - мы ещё раз проверяем кэш" ненулевое, но достаточно малое, чтобы новый кеш мог быть ещё не обновлён другим потоком. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #131 Ответы: #135, #136 |
133. Сообщение от hellobillyboy (?), 07-Дек-18, 20:32 | +/– | |
о! классное решение, выложи пожалуйста посмотреть на кодохостинг | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 |
134. Сообщение от Junior frontend developer (?), 07-Дек-18, 21:14 | +1 +/– | |
Во все языки это добавляют со временем | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #17 |
135. Сообщение от Онаним (?), 08-Дек-18, 00:38 | +/– | |
Нет, не могут. Несколько потоков могут контендиться на LOCK_EX на время валидации кэша. На практике под 1200 запросов в секунду при интервале валидности кэша в 1 секунду оно чувствует себя нормально. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #132 |
136. Сообщение от Онаним (?), 08-Дек-18, 01:09 | +/– | |
Для обхода конкуренции с ридерами и предотвращения рейсов сделана хитрость: лок-файл отдельный, и никогда не лочится как LOCK_SH, в отличие от файла кэша. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #132 |
137. Сообщение от Аноним (137), 08-Дек-18, 22:52 | +/– | |
Если пых переписать на Rust, то он станет хипсторским и его перестанут называть устаревшим! А еще безопасность будет! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #140 |
138. Сообщение от пох (?), 08-Дек-18, 23:24 | +/– | |
> это ж осваивание бюджета, ты что =) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #125 |
139. Сообщение от пох (?), 08-Дек-18, 23:24 | +1 +/– | |
> Противные шареды не желают обновляться, противные клиенты не хотят в этом разбираться | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #126 |
140. Сообщение от нах (?), 11-Дек-18, 09:40 | –2 +/– | |
предлагаю делать форк! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #137 |
141. Сообщение от нах (?), 11-Дек-18, 09:42 | +/– | |
ой, прекрасно, еще и getimagesize ВНЕЗАПНО исполняет код ;-) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #130 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |