Neuigkeiten:

still alive...

Hauptmenü

Herbe Kritik

Begonnen von tschinski, 04. September 2008, 13:26:34

Vorheriges Thema - Nächstes Thema

tschinski

Nachdem mich Powies schludrige Handhabung von PHP-Richtlinien mittlerweile mehr als angekotzt hat, habe ich mal in meiner php.ini die error_reporting auf E_ALL gesetzt. Und ich wurde erstmal erschlagen.
Da wurden Variablen benutzt, die nicht deklariert wurden.
Da wurden bei assoziativen Arrays die Indizes nicht in Hochkommata eingeschlossen .... nicht auszudenken, was passiert wäre, wenn man eine Konstante gleichen Namens hätte.
Da waren 5 Millionen Schwachstellen für ne SQL-Injection...
Da wurde ersichtlich, dass Powie noch NIE was von Typecasting gehört haben muss...
z.B.:
 


if ($eintrag == \"\") { eintrag = 0; }

 
 
Desweiteren scheint der Parser von pNews auf HTML aufzubauen, und nicht auf BB-Code. Und zwar auf SÄMTLICHES html... warum das Modul aus der Reihe fällt, weiß ich nicht.
Desweiteren waren die Scripte so aufgebaut, dass das -Tag nicht mehr im  stand...was die Seite bei jedem HTML-Validator durchfallen ließ.
Desweiteren basiert Powies Kram auf Tabellenlayout...tja, Powie, schon mal was von CSS-Layout gehört?
Jetzt, nach 3 Tagen Arbeit ist die Seite immerhin HTML-Konform, dennoch werden weiter Warnungen angezeigt, wegen den Shorttags...
Mannmann, Powie, und du hast damals diese Scripte wirklich so auf die User losgelassen? Und das damals schon in ner 4er Version? Ich kann für dich echt nur hoffen, dass du diese Fehler im pSys behoben hast.
An alle User, die irgendwelche Skripte von Powie am Start  haben, und Kontrolle über ihre php.ini haben: Schaltet mal die error_reporting auf E_ALL an, und fixt die Fehler entweder selbst, oder überlegt, ob der Umsteig auf phpBB, Joomla oder vBulletin nicht vielleicht weniger arbeit macht.

lit-web

Kritik in allen Ehren,aber achtest du auch mal auf deine Wahl der Worte und der Ausdrucksart und Weise. Wir sind doch hier nicht auf den Rummel und haben paar Maß Bier im Leib!
Powie wurde durchaus schon des öfteren darauf hingewiesen das seine Scripte sehr anfällig auf SQL In jections sind und falls es dir entgangen ist,ist der Support bzw. die Weiterentwicklung der Scripte eingestellt und die Arbeit beruht nur noch auf dem Psys und da denke ich gelesen zu haben das bei der aktuellen Version einge bis viele Sicherheitsstandarts geschaffen wurden!
Mir ist das auch aufgefallen das bei einem eingeschalteten error_reporting sehr viele Notices zu sehen sind und einige Warnings. Aber es steht jedem frei die Scripte zu verwenden oder auch nicht.
Bitte achte in Zukunft auf deine Ausdrucksart!

Taugenichtse die was haben,haben was gegen Habenichtse die was taugen!!!!


dec

Da frage ich mich, warum überhaupt stundelang an den Powie-Skripten raumgebastelt und Löcher gestopft werden, wenn die Skripte doch soooo schlecht sind....

spass ist, was ihr draus macht


Schaltet mal die error_reporting auf E_ALL an, und fixt die Fehler entweder selbst, oder überlegt, ob der Umsteig auf phpBB, Joomla oder vBulletin nicht vielleicht weniger arbeit macht.[/quote]
Die Empfehlung, error_reporting auf E_ALL (besser wäre E_STRICT) zu konfigurieren, ist prinzipiell gut. Allerdings sollten Fehler nur auf Entwicklungssystemen ausgegeben werden (display_errors=on); auf Produktivsystemen sollten Fehler jeglicher Art nicht direkt angezeigt werden (display_errors=off), da die Fehlermeldungen ggf. sensible Informationen enthalten. Es obliegt dem Programmierer, für ordentliche und sichere Fehlermeldungen zu sorgen.
Die Empfehlung, auf Joomla oder phpBB umzusteigen, möchte ich ausdrücklich nicht unterstützen. Beide Applikationen sind für fundamentale Sicherheitsprobleme und ignorante Maintainer bekannt. vBulletin ist mir nicht ausreichend bekannt.
und die Arbeit beruht nur noch auf dem Psys und da denke ich gelesen zu haben das bei der aktuellen Version einge bis viele Sicherheitsstandarts geschaffen wurden![/quote]
Das denkst du aber nur. tschinkis Kritik trifft so auch vollständig auf das PSys zu.
Standards schreibt man übrigens ohne t, mit d, am Ende.
Da frage ich mich, warum überhaupt stundelang an den Powie-Skripten raumgebastelt und Löcher gestopft werden, wenn die Skripte doch soooo schlecht sind....[/quote]
Manchmal merkt man das erst, wenn man schon eine gewisse Zeit (und oder Geld) investiert hat. Dann ist es u.U. weniger riskant, bestehende Probleme zu beheben.
Insgesamt eher Marmelade vom Vortag.

all your base are belong to us / Discord