記得今年年初,我初次接觸Discuz!和Ecshop時,一陣陣地驚歎:成熟度這麼高的產品,居然是免費的。我們這些搞傳統軟件開發的要怎麼活?另外也奇怪,做這些產品的公司,他們要怎麼活?
我公司的網站,原型正好是用Ecshop和Discuz!,到開發方移交給我們後,我們做二次開發,深入了解了其代碼,早期的疑惑才有了答案。
可以說,這些產品,都無法支持真正嚴肅的應用環境。
1)所有的數據庫訪問都不用mysqli連接,因此無法用prepared statement,而全部用拼接方式。
這些系統,對數據庫(主要都是mysql)的訪問,全部采用sql拼接方式。舉一個Ecshop的例子:
$w_openid = $db -> getOne("SELECT `wxid` FROM `wxch_user` WHERE `wxid` = '$openid'");
或類似
$wxch_user_sql = "INSERT INTO `$thistable` ( `user_name`,`password`,`field3`,`field4`) VALUES ('$variable1','$variable2','value3','value4')";
$db -> query($wxch_user_sql);
這種語句,偶爾出現倒也可以理解,如果所有的地方都是這樣(正如Ecshop),則應該出於對數據庫只有入門水平的人手裡。因為他完全沒有使用prepared statement的概念。
所以,這種系統幾個人用應該是快如閃電,並發量一大,後台數據庫可能被攪成一鍋粥了。
正確的連接數據庫的方法應該是:
$mysqli = new mysqli("server", "username", "password", "database_name");
而不是
$conn = mysql_connect('server','username','password') or die ("數據連接錯誤!!!");
正確的sql語句應該是:
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
$stmt->bind_param("s", $safe_variable);
$stmt->execute();
而不是前面那樣。
2)系統安全性極差
因為不用prepared statement,只要編程人員不注意,sql injection可以說到處都有可能。但看看他們的代碼,可以說壓根不注意。因為這些系統,對用戶輸入幾乎不用轉義。
對於已經很爛的代碼,正確的用法是應該有第二行:
$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);
mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
但在這些系統裡,上面的第二行很少看到。
這樣造成的問題就是,針對這些系統的機器人極多。基本上你的論壇上線不久很快就被機器人發的水貼、廣告貼盯上了。
本人對這些系統研究還很膚淺,不過看到這兩條,就已經明白,這種系統是供學習用的。開發這些產品的公司,他們的水平很高,不過高質量的代碼應該是用在了商業性收費的產品上。大家別以為可以撿到便宜。
轉載請注明出處:cnblogs上的海邊的駱駝博客。原博文地址:http://www.cnblogs.com/yingjiang/p/4750408.html
