Ты просто вместо того чтобы воспользоваться общественным туалетом, идёшь в лес копать и строить свой. Нет, так оно не работает. И никому особо не нужно было исполнять луа в пхп, это малорациональная задача.
Вот исполнять жс — нормально.
Тут так: в вашем туалете одни правила санитарии, у нас другие и тоже обоснованые. Не городить лишнего, тем более что логика не большая, зачем десяти лесникам туалет из мрамора и на 1000 человек, что бы было понятно. )) хотя мне лично туалетные сравнения не очень нравятся.
خداست
Snusmumriken
Тут так: в вашем туалете одни правила санитарии, у нас другие и тоже обоснованые. Не городить лишнего, тем более что логика не большая, зачем десяти лесникам туалет из мрамора и на 1000 человек, что бы было понятно. )) хотя мне лично туалетные сравнения не очень нравятся.
> $lua = new Lua();
Ненене, ты такой в пыхе:
<?php
// мутим скрипт
$lua_script = <<<(
function ($a, $b, $c)
print(a + b + c)
end
)();
// мутим аргументы, возможно они даже так и работают
$args = Array(
"$a" => "10",
"$b" => "20",
"$c" => "30"
);
$lua_script = preg_replace ("\$\w+", args);
// мутим пайпу
exec("mkfifo my_pipe")
// экранирование для echo тоже надо замутить,
// но мне впадлу, пихаем скрипт в пайпу
$com = <<<echo ";
com .= $lua_script;
com .= <<<" > my_pipe;
// исполняем луями, результат пихаем туда же
exec("lua my_pipe > my_pipe");
// получаем результат
res = exec("cat my_pipe");
// удолил хвосты
exec("rm my_pipe");
?>
Я не умею ни прогать на пыхе ни пользоваться неймед-пайпами, но мне это и не особо нужно. Тебе нужно — осваивай.
Мути обёртку над чем-то похожим, чтобы было красиво.
Snusmumriken
Понял, отлично. ))
А вообще php - шники они хорошие ))
Луашники мне нравятся больше.
Если что, я только что в первый раз в жизни что-то написал "на пхп" и даже не запускал, поэтому аккуратнее.
خداست
Snusmumriken
По моему сверхскромному мнению, некоторым вещам лучше не учиться ))
Maxim
не свосем, есть скрипт на lua, который что-то делает в другом приложении, мне надо реализовать его в php, что бы немного изменяя логику lua, делать это в двух приложениях единообразно
Если есть скрипт на lua который что то делает в другом приложении тогда вам городить огороды в php с выполнением lua крайне нежелательно по ряду причин, самый простой способ это дергать этот скрипт lua из nginx. Расскажите, что у вас используется в качестве вэб сервера? Lua исполняется во всех популярных вэб серверах
Maxim
Понял, отлично. ))
А вообще php - шники они хорошие ))
Нет плохих языков программирования, есть языки программирования которые ты ещё не знаешь ;)
Snusmumriken
Есть более или менее предпочтительные области. И пхпшное общество мне запомнилось, в основном, адовым водопадищем предельно дурацких вопросов, по типу этого, кстати.
Maxim
Из официального репозитория
خداست
И что вам запрещает доставить пакет nginx-utils ?
Для решения локальных не больших задач не осознал его преимуществ
Snusmumriken
Ну и lua_mod заодно.
Snusmumriken
Тэкс, значит у тебя ещё и нгинкс, и ты тут выпендриваешься, да? ))
Тебе на блюдечке с голубой каёмочкой выдали ровно то что тебе нужно, а ты хочешь чуть подругому! И ради этого всё писать заново!
Maxim
Есть более или менее предпочтительные области. И пхпшное общество мне запомнилось, в основном, адовым водопадищем предельно дурацких вопросов, по типу этого, кстати.
Как phpшник я прекрасно понимаю тебя, phpшники стараются все решить с помощью php)))
خداست
Тэкс, значит у тебя ещё и нгинкс, и ты тут выпендриваешься, да? ))
Тебе на блюдечке с голубой каёмочкой выдали ровно то что тебе нужно, а ты хочешь чуть подругому! И ради этого всё писать заново!
Пока нет желания привязваться к опредленному веб серверу
Snusmumriken
Как phpшник я прекрасно понимаю тебя, phpшники стараются все решить с помощью php)))
Ну знаешь, я не "стараюсь всё решить с помощью луёв" а довольно успешно решаю. Где не хватает луёв — пилим сишную либу или таки используем саму сишку. Вопрос не в выборе любимого молотка, а в умении и методах его использования.
Maxim
Пока нет желания привязваться к опредленному веб серверу
Apache2, nginx, httpProxy, все основные вэб сервера потдерживают вызов lua скриптов
fgntfg
Больше всего кода я, наверное, на js написал
خداست
Apache2, nginx, httpProxy, все основные вэб сервера потдерживают вызов lua скриптов
Вот и поэтому я вынес это в расширение самого php и все предельно понятно
fgntfg
Я считаю что молоток нужно выбирать под задачи
Snusmumriken
Разумеется, но когда ты ставишь задачи под свой молоток — всё становится слегка проще. Хоть и ведёт к лёгкой стагнации. Я просто не решал задач где сишка с луями были бы реально плохими.
Maxim
Вот и поэтому я вынес это в расширение самого php и все предельно понятно
Вы напишете больше 100 строк php, чем три строчки для каждого из популярных вэб серверов, вы не попробовали суп но утверждаете что он не вкусный )
خداست
Разумеется, но когда ты ставишь задачи под свой молоток — всё становится слегка проще. Хоть и ведёт к лёгкой стагнации. Я просто не решал задач где сишка с луями были бы реально плохими.
Осуждать можно, любое решение,так как идеальых решений нет. И эта стамеска мне больше нравится, если что ))
Скажем так про расширения на вебсервисе, если будет масштабирование, то надо не забывать на других нодах тоже это расширение ставить, это как минимум.
Snusmumriken
Хмм, в целом, идеальные решения есть.
Идеальное решение уравнения x - 2 + 3x = 0, в условиях реальных чисел, совершенно одно конкретное.
Если у тебя есть полнота информации — ты можешь сделать идеальное решение, если постараешься.
Maxim
Осуждать можно, любое решение,так как идеальых решений нет. И эта стамеска мне больше нравится, если что ))
Скажем так про расширения на вебсервисе, если будет масштабирование, то надо не забывать на других нодах тоже это расширение ставить, это как минимум.
Вы попробуйте реализовать сначала через nginx вызов скрипта lua, а затем то же самое сделайте на php и сравните результаты, оцените плюсы и минусы по каждому решению и уже тогда вы сможете сказать что лучше, но что то мне подсказывает вы не будете этого делать и все время потратите на решение через php
خداست
Вы попробуйте реализовать сначала через nginx вызов скрипта lua, а затем то же самое сделайте на php и сравните результаты, оцените плюсы и минусы по каждому решению и уже тогда вы сможете сказать что лучше, но что то мне подсказывает вы не будете этого делать и все время потратите на решение через php
тут такое: у меня имеется не файл .lua, а текст в поле таблицы в базе данных, поэтому не оправдано по причине гороздкости
Snusmumriken
Ты хранишь скрипты в бд?
خداست
тут такое: у меня имеется не файл .lua, а текст в поле таблицы в базе данных, поэтому не оправдано по причине гороздкости
Поэтому и только по этому интепритатор самое то, что нужно
خداست
Ты хранишь скрипты в бд?
я ничего не храню, это есть как данность, с которой надо взамодействовать. Читаем начало высера, там все есть ))
Snusmumriken
Окей. Кто отправил скрипты храниться в бд? Кому тут втемяшивать что так не делают? ))
خداست
Maxim
тут такое: у меня имеется не файл .lua, а текст в поле таблицы в базе данных, поэтому не оправдано по причине гороздкости
nginx умеет ходить в БД без помощи php, а с помощью того же lua
خداست
nginx умеет ходить в БД без помощи php, а с помощью того же lua
Ну ты задал тему для обсуждения)), кто же будет предоставлять доступ в базу еще и помимо php приложения, то есть безпасность курит в стороне?
Maxim
Окей. Кто отправил скрипты храниться в бд? Кому тут втемяшивать что так не делают? ))
Это такие условия задачи стоят перед ним, которые он не может изменить, есть такое условие и решение необходимо в рамках условий
خداست
ладно, я пойду поработаю, тут с вами весело конечно, но за это деньги не платят, всем спасибо, никого не хотел обидеть
Maxim
Ну ты задал тему для обсуждения)), кто же будет предоставлять доступ в базу еще и помимо php приложения, то есть безпасность курит в стороне?
Если ваш php имеет доступ то и nginx так же имеет доступ
Snusmumriken
> nginx умеет ходить в БД без помощи php
Ну кстати да.
-- *api.lua*
local query = ngx.decode_args(ngx.var.args or '')
local scr = query.script or 'noscr'
-- экранирование не завезли, хехе
local code = sql.request("SELECT code FROM scriptbase WHERE name = \"" .. scr .. "\"")
local fn, err = loadstring(code, scr)
local module = fn()
module.main(query)
то же самое, только по-человечески и главное — точно работает, у меня почти тот же код только без бд.
Pavel
кстати…в тему nginx
ребят - есть под это дело проверенные http либы nginx lua module?
нужно реализовать jsonRPC вызовы, но с учетом keepalive, пулов коннектов, retry-policy, и прочим circuit breaker
Maxim
ладно, я пойду поработаю, тут с вами весело конечно, но за это деньги не платят, всем спасибо, никого не хотел обидеть
https://github.com/openresty/lua-resty-mysql/blob/master/README.markdown#synopsis
Почитайте на досуге, когда устанете колдовать с php lua module и появится нервный тик на лице ;) ваша задача проще решается с помощью nginx чем с помощью php.
Уверен что вам понравится, смелее, nginx не кусается и это совсем не больно
Artem
Ну ты задал тему для обсуждения)), кто же будет предоставлять доступ в базу еще и помимо php приложения, то есть безпасность курит в стороне?
глупый вопрос задам, а чем это поход из php в mysql безопаснее похода из lua?
Pavel
глупый вопрос задам, а чем это поход из php в mysql безопаснее похода из lua?
если честно - тем, что в PHP ты знаешь как это делать правильно.
как работать с пулами, как жкранировать запросы...
Artem
я это и в lua знаю как делать правильно
Pavel
ну вернее мануалов о том как скрестить php и mysql нереально много.
с луа такого нет.
Artem
тут вопрос кто с какой стороны выстраивает безопасность, у меня она строится от разрешить вот это и это, а не наоборот
mva
тут вопрос кто с какой стороны выстраивает безопасность, у меня она строится от разрешить вот это и это, а не наоборот
а если с обратной стороны, то это не безопасность, а ИБД
Artem
это не ИБД, а гарантия того, что ничто не проскочит, кроме того, что явно разрешено
mva
это не ИБД, а гарантия того, что ничто не проскочит, кроме того, что явно разрешено
как бы так сказать помягче...
Ничего, что я именно ровно это же самое и говорил?
Artem
как бы так сказать помягче...
Ничего, что я именно ровно это же самое и говорил?
видимо я не понял))
fgntfg
Кууууубииииик!
fgntfg
@CyberSpirit
Maxim
@cassej @shaman_s_bubom @mva_name коллеги, вы тут про безопасность обсуждали, наверное у вас есть боевой, а не теоретический опыт, поделитесь примерами из жизни? Мне очень интересно!
На прошлой неделе закончился аудит на нашем проекте, аудит проводила компания http://lgc-it.ru, грамотные аудиторы, месяц меня пытали, в итоге у меня на руках аудиторское заключение и список рекомендаций, и мне интересно что же вы имеете в виду под словом "безопасность" в сообщениях выше?
Maxim
Месяц общения с аудиторами полностью перевернул мои представления о "it безопасности"
mva
ну, аудиторы аудиторам рознь (вспоминается тред на SO под названием "наш аудитор - идиот")
mva
но, как минимум, наличие WAF в режиме "разрешено только явно разрешённое" к безопасности таки относится
Maxim
ну, аудиторы аудиторам рознь (вспоминается тред на SO под названием "наш аудитор - идиот")
Давай может про реальный опыт? Случаи может были какие нибудь?
mva
ну, на одной из фирм к которой я имею отношение - аудит на PCI DSS идёт прямо сейчас
mva
ничего особо нового аудиторы мне пока не рассказали, мои выкладки - выслушали.
mva
вроде, больше нечего рассказать
Maxim
ничего особо нового аудиторы мне пока не рассказали, мои выкладки - выслушали.
Так случаи на производстве были? Типа у нас была такая дырка что ей смог воспользоваться злой доморощенный хацкер Иннокентий?
Pavel
@cassej @shaman_s_bubom @mva_name коллеги, вы тут про безопасность обсуждали, наверное у вас есть боевой, а не теоретический опыт, поделитесь примерами из жизни? Мне очень интересно!
На прошлой неделе закончился аудит на нашем проекте, аудит проводила компания http://lgc-it.ru, грамотные аудиторы, месяц меня пытали, в итоге у меня на руках аудиторское заключение и список рекомендаций, и мне интересно что же вы имеете в виду под словом "безопасность" в сообщениях выше?
У нас тоже аудиторы всякие отчёты составляют
Сами приложения кажется детально не инспектят.
Но этого я достоверно не знаю.
В тех кусках отчётов многое про бизнесс процессы. Про разграничения прав доступа. Про доступы к ключам и исзолникам итд
mva
ну, подобные описанному тобой случаи, положим, вне моей юрисдиксции бывали: например, случай, когда программисты додумались во внутренней админке валидировать пароль на фронтенде.
Ещё был случай, когда логи, сложенные в эластик палили на всю ивановскую.
Предположим.
Но к чему этот опрос?
mva
Anonymous
Вся эта муть по сертификации , аттестации и т..д на фстэк , ФСБ и прочую муть лишь очередная кормушка для чьего то голодного чиновьечего сыночка и околоафилированных конторок
Snusmumriken
Проблема не в том чем оно является, а в том что это как-то надо пройти
Pavel
ну, иногда они и конфиги серверов просят
И продолжения тоже смотрят и на папет конфиги и на правила фаервола итд
Anonymous
Если за яички не держат то посылать нахер этих молодых и перспективных специалистов по иб
Pavel
Вся эта муть по сертификации , аттестации и т..д на фстэк , ФСБ и прочую муть лишь очередная кормушка для чьего то голодного чиновьечего сыночка и околоафилированных конторок
Не могу однозначно согласиться. У нас это требование инвесторов. Причём не наших,не российских. И толк с этого вполне был. Хоть и не большой.
Ну и для бизнеса это большее доверие и большие инвестиции
Artem
Так случаи на производстве были? Типа у нас была такая дырка что ей смог воспользоваться злой доморощенный хацкер Иннокентий?
у меня все общение с внешним миром построено на основе контрактов, где шаг в сторону и сразу отказ без запуска основного кода, сам я архитектор/разработчик hoqu, можно почитать посмотреть что за платформа, в роли архитектора работаю около 8 лет, проходил не раз банковский проверки на безопастность
Anonymous
Не могу однозначно согласиться. У нас это требование инвесторов. Причём не наших,не российских. И толк с этого вполне был. Хоть и не большой.
Ну и для бизнеса это большее доверие и большие инвестиции
Может быть , но все таки в этих историях больше маркетинга чем реального усиления ИБ
Anonymous
Вот банковская сфера конечно специфична и стоит особнячком
Pavel
Может быть , но все таки в этих историях больше маркетинга чем реального усиления ИБ
Просто тут разное вкладывают в понятия иб как мне видится. Это не белые шляпы, что проводят невъебенный технический аудит
Anonymous
Что то госсектор уже несколько лет на alt linux пересадить не могут , а как коммерческий сектор доить ненужными мероприятиями по аккредитации и сертификации так это пожалуйста. Просто бесит что основная цель это просто сбор бабла а не ИБ. За сим удаляюсь, чтобы прекратить оффтоп :)
Pavel
у меня все общение с внешним миром построено на основе контрактов, где шаг в сторону и сразу отказ без запуска основного кода, сам я архитектор/разработчик hoqu, можно почитать посмотреть что за платформа, в роли архитектора работаю около 8 лет, проходил не раз банковский проверки на безопастность
Эджайл, блокчейн, бигдата? Все как у сбербанка?
Artem
ну бигдата там только в будущем будет, и то в отношении кликов и лидов, но в целом да
Maxim
Коллеги, все что рассказываете о безопасности это то что проходили аудит и не раз) это не может не радовать, значит ваше предприятие/производство работает и развивается. Но как соотнести к реалиям? Чем вам помогли рекомендации на практике? Помимо валидации пароля на фронте и детального изучения вашего софта аудиторами? Что в реальности для вас эта туманная "безопасность"?
Mikhail
Распил бабла