Re: [心得] 台灣的PHP環境

看板Soft_Job作者 (GC)時間14年前 (2011/07/12 11:57), 編輯推噓7(7031)
留言38則, 8人參與, 最新討論串2/2 (看更多)
※ 引述《smallsong (小歌)》之銘言: : 最近,有跳槽的念頭,面試了幾間公司.... : 順便試試自己的行情, : 規模有大有小.... : 不知道是不是面試的範圍不夠多,還是公司性質有差!? : 就是台灣PHP會用MVC framework當開發工具的公司似乎不多... : 會用通常都是接案公司才會使用..., : 當然很多也是採取手刻一步一腳印的寫法。 : 平台開發(遊戲公司的主官網、或一些平台網站)跟維護... : 我碰到的好像都是從頭手刻!? : 光聽到面試考官的敘述,就覺得裡面的code應該想當的"漂亮"XDD : 有問過幾個考官為什麼開發時,不選擇可以比較快速開發的framework : ,而且良好的MVC 後人維護也輕鬆!!他們的答案是萬一有漏洞呢!? : 小弟資淺,這方面的問題我也沒辦法回答...因為我還是只會用的狀態.... : 是因為PHP先天體質太"優良"了!? : 其實很多東西硬幹,都寫得出來...所以很多人覺得沒必要學習!? : 又或是目前現行的PHP framework真的不適合拿來開發中大型平台用!? : 還是小弟我真的見識太淺薄,看過的公司還不夠多 囧rz 你面試的公司成立幾年了?他們成立的時候,有你想的 framework 嗎? 我寫 PHP 也八、九年了,當初哪有什麼 framework 可以用。 這幾年 framework 漸漸成熟後,也曾想將 framework 導入公司系統, 但仔細研究這些 framework,才發覺跟公司自行開發的架構理念是一致的, 那又何必導入,頂多將其他 framework 裡好用的東西再加進原有系統就好了。 再者,資安確實也是個問題。 用 Google 上找的到的 framework,等於把程式碼公諸於世, 如果沒設定好、沒有定期更新,反而容易被攻擊。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.251.172.208
07/12 12:28, , 1F
講到資安,閉門造車搞的東西問題可能更大.
07/12 12:28, 1F
07/12 12:32, , 2F
只是關起門來,你不說,我不說,大家都不知道(駭客除外). XD
07/12 12:32, 2F
07/12 13:04, , 3F
閉門造車跟問題大不大沒關係啊XD 全世界有多少駭客有能力破
07/12 13:04, 3F
07/12 13:05, , 4F
解別人寫的東西 對比一下現成的framework你google一下就一堆
07/12 13:05, 4F
07/12 13:05, , 5F
方法 照著做你也可以是駭客...這風險反而比較大
07/12 13:05, 5F
07/12 13:06, , 6F
沒那麼多駭客閒著沒事做去破解大家自己寫的小東西......
07/12 13:06, 6F
07/12 13:33, , 7F
網路上很多到處踹人家網站的script或bot.當然不用人花時間踹
07/12 13:33, 7F
07/12 13:35, , 8F
,開源framework有社群維護,自己搞的framework要花多少精力維
07/12 13:35, 8F
07/12 13:35, , 9F
護?
07/12 13:35, 9F
07/12 13:37, , 10F
工程師爆肝加班維護...成本0...
07/12 13:37, 10F
07/12 13:54, , 11F
1.你沒講別人不一定知道你用什麼 fw ...
07/12 13:54, 11F
07/12 13:55, , 12F
2.即使它知道你用什麼 fw 可能可以鑽的洞就那麼多
07/12 13:55, 12F
07/12 13:55, , 13F
3.即使 close source 也不代表就不容易被攻擊
07/12 13:55, 13F
07/12 13:56, , 14F
@hanbz 是這樣說沒錯,但歷史上有名的花旗事件跟前陣子的
07/12 13:56, 14F
07/12 13:57, , 15F
sony sql injection 事件, 你要跟他賭嗎?
07/12 13:57, 15F
07/12 13:58, , 16F
資安觀念是重要,所以要定期參與定期update 知道自己處於什
07/12 13:58, 16F
07/12 13:58, , 17F
麼樣的風險之下,但這是不是需要透過避免使用開源專案,
07/12 13:58, 17F
07/12 13:59, , 18F
我覺得不是那麼絕對。在資料設計跟架構上避免風險才是王道..
07/12 13:59, 18F
07/12 13:59, , 19F
我到覺得目前資安的警覺信是普遍不足,url protection沒測過
07/12 13:59, 19F
07/12 14:00, , 20F
sql injection 沒踹踹看,xss 不在掌握範圍內...etc
07/12 14:00, 20F
07/12 14:00, , 21F
以上這三點沒有好好做過的人,來說開源專案風險高是緣木求魚
07/12 14:00, 21F
07/12 15:41, , 22F
sony是sql injection阿?....話說之前MySQL官網不也是.....
07/12 15:41, 22F
07/12 15:41, , 23F
有經驗的駭客可以從一些外顯得東西去推測你用哪套framework
07/12 15:41, 23F
07/12 15:42, , 24F
開源的東西不path風險比自己寫的大多了,這些洞外面都是
07/12 15:42, 24F
07/12 15:43, , 25F
寫好程式自動幫你打的,開源的風險就是洞大家都知道...
07/12 15:43, 25F
07/12 15:44, , 26F
相對的自己寫要擔的就是寫程式的沒資安方面的警覺心..
07/12 15:44, 26F
07/12 15:45, , 27F
啊..是不patch, 重點是你不patch人家根本連找洞都不用找
07/12 15:45, 27F
07/12 16:11, , 28F
我自己的做法是,把開源的fw當參考範例,去看看別人怎麼寫,為
07/12 16:11, 28F
07/12 16:12, , 29F
什麼這麼設計. 這樣不僅可以增強自己的實力,也能補強自建的fw
07/12 16:12, 29F
07/12 16:49, , 30F
自己寫的話 我是指小網站像是網誌或是公司內部erp這種的
07/12 16:49, 30F
07/12 16:50, , 31F
需要對外的官網跟那種提供大眾服務的就又另當別論了XD
07/12 16:50, 31F
07/12 16:50, , 32F
最一般的各大遊戲server八成每天都有攻擊...我想說的重點在
07/12 16:50, 32F
07/12 16:51, , 33F
於不要以為用了framework就覺得是資安的代表 還有更重要的東
07/12 16:51, 33F
07/12 16:52, , 34F
西~ 要是沒做好的部分是server防火牆的部分 os讓人整鍋端
07/12 16:52, 34F
07/12 16:53, , 35F
code的部分怎麼寫都沒用XD~ framework並沒有比較神 只是工具
07/12 16:53, 35F
07/12 21:28, , 36F
fw最大的問題就是, 多了很多你沒用到也不了解的code
07/12 21:28, 36F
07/12 21:30, , 37F
另一個問題, 就是patch可能強迫升級, 舊的code不相容怎辦
07/12 21:30, 37F
07/12 21:32, , 38F
所以功能越多, 規模越大的網站越不該使用fw
07/12 21:32, 38F
更多 emag 的文章
文章代碼(AID): #1E6yOkzB (Soft_Job)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共2篇)
更多 emag 的文章
文章代碼(AID): #1E6yOkzB (Soft_Job)