Выбор платформы для сайта

[Privet]

>>sql строится конкатинацией строк,

LOL, way to go!

Code injection. Теоретически оно всё известно, но где лопухнуться всегда можно найти. Особенно, например, при такой невнимательности, как у меня. Правда, писать всё это самому, надеюсь, мне не придётся. Постараемся найти кого-то поопытнее в этом деле.
На PHP я делал только некоторые добавки и пару небольших расширений для этого форума. Язык си-подобный. Ничего даже осваивать не пришлось. Правда, написание расширений в нём - не самый простой и ясный механизм. Всё ради того, чтобы для написания расширений абсолютно не требовалось вмешательство в код форума. Удобная вещь. Раньше при обновлении кода форума часто ломались используемые расширения. Авторы ведь редко их сопровождают и немедленно докручивают до последней версии форума. Содержать форум было трудно. Сейчас стало намного лучше.

[Flash-04]

Если проект серьезный, то неплохо найти потом человека/компанию который сделает code assessment на предмет безопасности. Правда гарантии все равно не будет. Но по крайней пара лишних глаз может найти что-то пропущенное.

[Flash-04]

Я в своё время поддерживал сайт на джумле. Его тоже ломали, и тоже исламисты (это был церковный сайт).
Но после апгрейда всё стихло...

С Joomla фигня ещё в том, что дыры бывают даже в templates/modules, которые тоже PHP. То есть поставив чей-то модуль, можете получить дырки о которых понятия не имеете. То же самое с WordPress.
Есть всякие сканеры на предмет нахождения известных дыр.
Сайты часто ломают (на Joomla/WordPress) чтобы ставить спам-модули и фишинг.

[Palych]

Кстати да, статический анализ кода должен помочь.
Я не знаю есть ли хорошие сканеры для php.

[solution]

Кстати да, статический анализ кода должен помочь.
Я не знаю есть ли хорошие сканеры для php.

статический анализ кода это лучше чем никакого анализа.
Но ведь в Wordpress(php) страницы вроде показываются не в статике а в динамике - и тут может быть загвоздка.

[None of the above]

Сайты часто ломают (на Joomla/WordPress) чтобы ставить спам-модули и фишинг.

Я так понимаю, что регулярная (автоматическая) проверка файловой системы сайта поможет быстро удалить последствия взлома?

[Flash-04]

скажем появление новых странных фолдеров и файлов - красный флаг. А вот восстановление - из бекапа ессно.

[Flash-04]

Кстати да, статический анализ кода должен помочь.
Я не знаю есть ли хорошие сканеры для php.

https://geekflare.com/php-security-scanner/
это не сканер, а статья о сканерах

[Palych]

Кстати да, статический анализ кода должен помочь.
Я не знаю есть ли хорошие сканеры для php.

https://geekflare.com/php-security-scanner/
это не сканер, а статья о сканерах

Вот, похоже не так все плохо.
Надеюсь разработчики CMS пользуются такими сканерами.

[Privet]

Я в своё время поддерживал сайт на джумле. Его тоже ломали, и тоже исламисты (это был церковный сайт).
Но после апгрейда всё стихло...

С Joomla фигня ещё в том, что дыры бывают даже в templates/modules, которые тоже PHP. То есть поставив чей-то модуль, можете получить дырки о которых понятия не имеете. То же самое с WordPress.
Есть всякие сканеры на предмет нахождения известных дыр.
Сайты часто ломают (на Joomla/WordPress) чтобы ставить спам-модули и фишинг.

На этом форуме можно выбирать использовать PHP в шаблонах или нет. Я предпочитаю не использовать.

Сейчас глянул лог, а там как раз пакет запросов на разные модули wp. Ищут дырки. Эта как раз информация о том, какие пакеты лучше не ставить.

[Flash-04]

Сейчас глянул лог, а там как раз пакет запросов на разные модули wp. Ищут дырки. Эта как раз информация о том, какие пакеты лучше не ставить.

так и есть

[Andrey Strelnikov]

какова функциональность сайта? Принимать запросы и заказы и делать платежи можно?

Извините, я немного выпал.

Речь идёт о создании платформы для IoT. Т.е. это сбор данных, администрация системы и далее интерфейс для работы с клиентамы, включая и транзакции. Для этого уже есть системы, но у нас специфическая задача - в первую очередь нам нужен сервер для управления нашей системой.

Тема немного старая. Но эту часть как-то не прочитал осмысленно.
Если это сбор данных, нужна админка и аналитическая часть, то из готовых систем стоит рассмотреть Zabbix.
Есть ли там фин транзакции не знаю. Монстр конечно - но постоянно в зоне интересов всяческих админов. Развивается и не будет заброшен.

[sergant]

Zabbix большой монстр,
Xymon проще для мелких проектов

[Privet]

Всё-таки, у WordPress есть проблемы с безопасностью по той причине, что это наиболее популярная CMS и хакеры работают с ней наиболее активно.
Посмотрел drupal. Давным-давно я немного игрался с drupal. Она у меня тогда легко сразу запустилась. Сейчас появилась ещё дополнительная стадия развёртывания с помощью composer, без которой ничего не работает. Изучать талмуд документации, да ещё ставить composer мне совсем не хочется. Его одно время использовал Белый домик, но потом сбежал на WorldPress.

Немного о том, что мы делаем. Мы строим свою собственную IoT по полностью нами разработанному принципу и на наших решениях. Я прикидываю варианты сервера, который будет управлять системой, коммутировать потоки данных, накапливать данные и раздавать их пользователям. Сейчас в России популярна Lora - клон западной системы. Желательно сделать нашу систему так, чтобы её легче было осваивать пользователям этой системой. Мы надеемся, что это станет одним из российских стандартов. У нас есть поддержка на высоком уровне, но пока не так много денег и есть очень опасные и могущественные оппоненты.
Мне пока нужен инструментарий, чтобы малоопытный программист мог быстро лепить формы для интерфейса, который будет строиться вокруг основной логики сервера нашей системы. Включая интерфейсы для администрации, сопровождения и пользователей. Чтобы я мог заниматься только ядром системы и на это не отвлекался. Икебана меня пока не интересует. Ею потом уже займётся художник и более опытные программисты. Какие-то вещи можно будет переписать, но полностью отвязаться от конкретной CMS уже будет, скорее всего, нереально. Проще будет написать другую, а эту рассматривать как макет или пилотный проект. В данный момент я не готов написать ТЗ на всю систему без такого макетирования.

[Andrey Strelnikov]

Немного о том, что мы делаем. Мы строим свою собственную IoT по полностью нами разработанному принципу и на наших решениях.
...
Мне пока нужен инструментарий, чтобы малоопытный программист мог быстро лепить формы для интерфейса, который будет строиться вокруг основной логики сервера нашей системы. Включая интерфейсы для администрации, сопровождения и пользователей.

Посмотрите что из IDE умеет "раскладывать" controls(дропдоуны, чекбоксы, текстбоксы) на html страницу. И позволяет добавлять свои типы controls через плагины или каким-то другим путем.

Или сразу на основе каких-то template engines (https://en.wikipedia.org/wiki/Compariso ... te_engines) делать решение.
Явно есть куча учебных прмеров в разных книгах с админками, журналами и тп. Для пилота хватит

[idle0]

Для IoT уже есть вот такое

https://aws.amazon.com/iot/

[Privet]

Для IoT уже есть вот такое

https://aws.amazon.com/iot/

И очень много разных. В том числе и от MS. Это одна из самых быстрорастущих технологий. Практически все ведущие компании ринулись в неё, надеясь урвать свой кусок пирога.

[Privet]

Немного о том, что мы делаем. Мы строим свою собственную IoT по полностью нами разработанному принципу и на наших решениях.
...
Мне пока нужен инструментарий, чтобы малоопытный программист мог быстро лепить формы для интерфейса, который будет строиться вокруг основной логики сервера нашей системы. Включая интерфейсы для администрации, сопровождения и пользователей.

Посмотрите что из IDE умеет "раскладывать" controls(дропдоуны, чекбоксы, текстбоксы) на html страницу. И позволяет добавлять свои типы controls через плагины или каким-то другим путем.

Или сразу на основе каких-то template engines (https://en.wikipedia.org/wiki/Compariso ... te_engines) делать решение.
Явно есть куча учебных прмеров в разных книгах с админками, журналами и тп. Для пилота хватит

Спасибо, это интересно. Я смотрю подобные. Здесь много, о чём я никогда и не слышал, но не всё понимаю. Я этой тематикой практически не занимался. Разве есть такая template engine как PHP? Это же просто скрипт. Язык программирования. Он не генерирует никакие HTML объекты сам по себе, но на нём можно написать код, который будет их генерировать, как и на любом языке программирования общего назначения. Я чго-то не знаю? Можете пояснить?

[Privet]

Кстати, template engine, как я понимаю, генерирует не просто HTML objects, а генерирует сразу готовую страницу заполненную данными на основании шаблона (template) этой страницы. Например, как эта страница форума, а WordPress, как я ожидаю, создаёт не готовые документы, а шаблоны. Дайте знать, если это не так.

[Andrey Strelnikov]

Кстати, template engine, как я понимаю, генерирует не просто HTML objects, а генерирует сразу готовую страницу заполненную данными на основании шаблона (template) этой страницы. Например, как эта страница форума, а WordPress, как я ожидаю, создаёт не готовые документы, а шаблоны. Дайте знать, если это не так.

Исходя их этой таблицы я бы выбрал ASP.Net c Razor, web2py или flask. Надрал с примеров (а их море) кода на админку пользователей и тп.
Для программистов заказчика бы сделал шаблоны с разными лайоутами для облегчения "перекраски" под фирменный стиль. Написал бы документацию по редактированию и кастомизации шаблонов. Без нее все равно не обойтись. Тех писатели недороги.

У вас все таки нет задачи сделать WordPress. А нужен достаточно ограниченный функционал с небольшим количеством шаблонов и тд.
Думаю задача найти грамотного человека для реализации.

[Privet]

Кстати, template engine, как я понимаю, генерирует не просто HTML objects, а генерирует сразу готовую страницу заполненную данными на основании шаблона (template) этой страницы. Например, как эта страница форума, а WordPress, как я ожидаю, создаёт не готовые документы, а шаблоны. Дайте знать, если это не так.

Исходя их этой таблицы я бы выбрал ASP.Net c Razor, web2py или flask. Надрал с примеров (а их море) кода на админку пользователей и тп.
Для программистов заказчика бы сделал шаблоны с разными лайоутами для облегчения "перекраски" под фирменный стиль. Написал бы документацию по редактированию и кастомизации шаблонов. Без нее все равно не обойтись. Тех писатели недороги.

У вас все таки нет задачи сделать WordPress. А нужен достаточно ограниченный функционал с небольшим количеством шаблонов и тд.
Думаю задача найти грамотного человека для реализации.

По ASP.Net нужен хоть какой-то, но специалист. С PHP я могу помочь, а ASP.Net это умирающая технология. С какого бодуна на неё лезть, особенно учитывая, что у меня на неё аллергия/ Только PHP и ничего более. Это уже решено. Что-то на C++ придётся писать. Часть из этого уже написано.
У нас, конечно, не WordPress, но, тем не менее, сайт с очень многоплановой функциональностью, каких даже в природе не много. Те самые шаблоны, база данных, регистрация клиентов, но это всё классика. Управлением доступом к данным и сервисам (разные пользователи с разными правами), протоколы передачи данных, кодирование, шифрование, представление данных в разном виде (таблицы, графики), денюжки.
Прикол в том, что UI и сайтами я никогда не занимался, а найти специалиста, который бы мог это всё понять и связать воедино малореально, т.к. самое сложное жто, всё-таки функциональность. Поэтому, и придётся делать всё в несколько этапов. Сначала макет с главным упором на функциональность, а кода станет более понятно по этой части и структуре UI, уже делать чистовую икебану вокруг функциональности. Если кто знает как можно иначе, буду очень благодарен за советы. Кстати, ваша таблица мне здорово помогла. Я и не знал, что существуют специализированные template engine, а не только CMS. Ещё бы мне хотелось найти IDE для PHP. Именно IDE с удобным редактором, который видит функции, классы и пр. Хорошо бы ещё с отладчиком, который умеет исполнять код пошагово и видеть состояние переменных. Нашёл один tool для VS 2019 и VS Code. Установил, но ещё не пробовал. Подскажите, пожалуйста, если есть нечто иное. Вообще, я привык работать в VS. Предпочтительнее бесплатное, но это не обязательно. Мы работаем пока за свои, а надо нам ой как много всего. Делиться с не очень хочется. Кто знает, тот поймёт.
Спасибо.

[idle0]

Phpstorm

[iDesperado]

я когда-то тоже искал что-то подобное для java, мне кажется такие заготовки называются admin panel. тогда я нагуглил тучи заготовок на js и php, для жава ничего приличного не нашлось и я понял, что мне гораздо проще взять пару учебных проектов со spring boot где обычно уже настроены веб, пользователи, секьюрити и какая-то панелька, чем погружаться в неизвестность.
вот сходу какой-то список, наверно от туда ключевые слова можно взять для дальнейшего поиска
https://themeselection.com/admin-panel-in-php/

как пример
https://codecanyon.net/item/codeigniter ... act_radius

[Palych]

Для управления пользователями есть отдельные решения, которые интегрируются с практически любым кодом через oauth2. Тут лучше не изобретать велосипед.

[Privet]

Для управления пользователями есть отдельные решения, которые интегрируются с практически любым кодом через oauth2. Тут лучше не изобретать велосипед.

Не могли бы подсказать имя, фамилию таких решений или ключевые слова по каким искать? За oauth2 большое спасибо. Это то, что нам обязательно будет нужно. Только насколько это совместимо с бизнес-решениями? Ведь получается, я должен делегировать авторизацию дяде и на основании его решения дать юзеру какой-то уровень доступа. Нет ли в этом процессе дырки в системе безопасности. Подробно я просмотреть этот материал я ещё не успел. Не поясните, пожалуйста, кратко в каких случаях это используется и насколько это безопасно?
Спасибо,
Борис