Názor k článku Testování verzí CMS: 50 000 zastaralých instalací systémů WordPress a Joomla od null null - "Nechápu, proč oslovujete mne, a pak polemizujete s...

"Nechápu, proč oslovujete mne, a pak polemizujete s vlastním výmyslem, který já jsme nikdy nenapsal. Opakovaně jsem výslovně napsal, že nejde o to, co je teoreticky možné, ale o to, k čemu daný jazyk a platforma spíš navádí a čemu spíš brání."

A já ti opakovaně píšu, že i když tomu platforma "spíš" brání, tak nikdo nezbrání tomu, aby tam někdo napráskal chyby - A JE JEDNO JAKÉ - LANGUAGE SPECIFIC - protože je nevylučuje, jenom "spíš" brání. To nemusí být problém u mě, nemusí být u tebe, ale do WP často dělají pluginy amatéři a pak to tak vypadá.

"A mimochodem, udělat systém, ve kterém bude obtížné ve vlastním kódu udělat některé chyby, je možné – příkladem takového systému je např. PHP, ve kterém je obtížné udělat některé chyby, které byste mohl udělat ve stejném kódu napsaném v C."

Není, jenom se v C a v PHP dají z nedbalosti práskat jiné chyby. Ne že v jednom ano, v jednom ne.

"Kdybys o WP a pluginech skutečně něco věděl, tak by ti bylo známo, že kompletní API od WP existuje
To je v rozporu s něčím, co jsem napsal?"

Filip Jirsák 100 Bronzový podporovatel Včera 17:09
"Ale když se na to ptáte – autoři WP za to mohou tím, že neposkytují autorům pluginů prostředí, které by je vedlo k psaní bezpečného kódu."

"ale hromada pluginů jej nepoužívá a implementuje své po svém
To provozovatelům těch napadených webů nějak pomůže?"

Ne, ale je to důvod toho o čem se tu polemizuje. Pokud se tak moc chceš bavit o řešeních, tak proč si vybíráš jednotlivé věty a píšeš k nim elaboráty místo návrhu řešení?

"Ten tvůj návod je k mysqli a s mysqli se prostě jinak nepracuje.
Což je právě chyba."

Jenže ta funkce je dost používaná. Už jenom ve starších verzích PHP. Mimochodem to je tvou selectivní slepotou, ale i v tom tvém příkladu v dokkumentaci je "MySQLi extension basic examples". A jelikož si klasický amatér, včetně tebe (nebo možná spíš až taková hvězda), nepřečte poznámky v kódu tak nezjistí že:
"...Let's make it
// default to 1, and cast it to an integer as to avoid SQL injection
// and/or related security problems. Handling all of this goes beyond
// the scope of this simple example...."

"Někdo to holt nezkousne a v rukách amatéra to může být pohroma.
Což je u PHP, což je platforma pro amatéry, docela problém."

Pokus o laciný flame? Jak je vidět, tak PHP evidentně pro amatéry není. Viz. běžní pisatelé pluginů . . . . .

"Já jsem nepsal, že to má řešit knihovna. Nemá se to řešit vůbec, pokud ten vstup není něco potenciálně nebezpečného jako třeba cesta k souboru nebo kód. Ale obyčejný text není nic, co by mělo být nebezpečné a mělo se to nějak speciálně ošetřovat."

Každý vstup do aplikace a každý výstup je potenciálně nebezpečný. Některý více, některý méně. U webů to platí dvojnásob. A ona by to měla řešit nějaká knihovna, protože obecně platí, že programátor při použití knihovních funkcí méně zapomíná udělat nějaký jeden krok z několika. Typický příklad jsou šablony např. v Nette, když už v PHP, nebo ty prepared statements . . .

"No, mám z tvého výkonu pocit, že tam kde se použijí knihovny a java, tak není problém. Ono to tak ale ve skutečnosti není, že?
Ne, ve skutečnosti to tak není, je to jen váš ničím nepodložený pocit."

Výborně