web agency funzionamento

[VICIUS]

Da cliente. Se una web agency cercasse di vendermi il suo cms proprietario per il sito andrei all'istante a cercare altrove. Di sicuro un qualcosa su misura può fare gola ma nel lungo periodo è un costo. Sarei incatenato a quella società e costretto a pagare qualsiasi fosse il prezzo per ogni intervento. Se poi per qualche motivo dovessero chiudere mi ritroverei con un sito a cui non potrei più fare modifiche se non spendendo molte risorse. Con un qualcosa di più standard come wordpress posso andare da altri se mi fanno un prezzo migliore o anche trovare qualcuno con già esperienza con quel software ed assumerlo direttamente.

[airon]

Quote:

Originariamente inviato da VICIUS

Da cliente. Se una web agency cercasse di vendermi il suo cms proprietario per il sito andrei all'istante a cercare altrove. Di sicuro un qualcosa su misura può fare gola ma nel lungo periodo è un costo. Sarei incatenato a quella società e costretto a pagare qualsiasi fosse il prezzo per ogni intervento. Se poi per qualche motivo dovessero chiudere mi ritroverei con un sito a cui non potrei più fare modifiche se non spendendo molte risorse. Con un qualcosa di più standard come wordpress posso andare da altri se mi fanno un prezzo migliore o anche trovare qualcuno con già esperienza con quel software ed assumerlo direttamente.

Altro ottimo intervento.
Guarda caso molte offerte di lavoro che si vedono in giro (italia ed estero, sottolineo anche estero) chiedono dimestichezza con wordpress/drupal/joomla. A qualcuno sfugge qualcosa.

[airon]

Quote:

Originariamente inviato da json()

I CMS, sono la rovina per i pochi che sanno programmare davvero, come la globalizzazione, per le piccole aziende e non dimentichiamo flash .
Un lavoro fatto ad hoc, per me prevede codice scritto dal programmatore stesso, css3 fluido/lineare scritto dal programmatore stesso, interfaxxia backend per l'utente , non tanto per modificare il layout, ma per inserire nuovi articoli, commenti e foto semplicemente sul server via ftp, senza tipi blob, mediumblob etc sul database.
Molte webagency fanno speculazione con i CMS , far pagare codice opensource è come chidere ***** ad una Vergine, insomma è la bestemmia dell'informatica web 2.0.
Ma ovviamente l'utente medio nemmeno sa queste cose e sborsa fior di quattrini per siti con Cms.
Senza dimenticare che il CMSaro medio , fa difficoltà a riconoscere una funzione da una classe e ha dei limiti nella programmazione, imposti/inculcati dai vari CMS, quando si trovano ad implementare un interfaccia o creare una classe da 0, trovano immense difficoltà , spesso mancano anche della terminologia base.
Ho sentito chiamare le costanti : "i define", da presunti programmatori css e visto scrivere codici ricorsivi e spaghettati nonostante l'implementazione dell oop.
Insomma

EDIT:
Non usciamocene con la storia della sicurezza dei cms VS logica di programmazione/principi di buona programmazione che , qualsiasi programmatore deve avere.
Questo è solo uno specchietto per le allodole, solo scuse.
Non si tratta di milioni di righe di sorgente, non ci vuole così tanto.
ES1...molto semplice

Codice PHP:

function _comment_foto()
{
    
    $iduser = $_SESSION['id'];
    $idnome = addslashes($_SESSION['nome']);
    $idcognome = addslashes ($_SESSION['cognome']);
    $comment = htmlspecialchars (mysql_real_escape_string ($_POST['comment'])); 
    echo $data =  $_POST['time'];
    $fotoid = $_SESSION['foto'];
    $mail_id = $_SESSION['mail'];
    $fotopost = sha1 ($_SESSION['id'].$_FILES['fotopost']['name'].$_SESSION['id']).'.png';
    $file_tmp_name = $_FILES['fotopost']['tmp_name'];
    $file_name_accepted = $_FILES['fotopost']['type'];
    $name_file_image = array (
    "image/gif",
    /**/
    "image/png",
    /**/
    "image/jpg",
    /**/
    "image/jpeg",
    /**/
    "image/bmp",
    /**/
    "image/jpd",
    /**/
    "image/ico"
    /**/
    );
    /*check data*/
    
    $query_data = mysql_query("select data from post where data = '$data'");
    $read_data_ = mysql_fetch_assoc ($query_data);
    if ($read_data_['data'] != $data)
    {
     if (empty ($comment) || empty ($fotopost))
     { 


Esempio2

Codice PHP:

function recuperapassword(){
      $findmail = mysql_query ("select mail from utenti where mail = '$em'");
      $nummail = mysql_fetch_row($findmail);
      $enum = "abcdefghilmnopwruvz";
      $newpassword = uniqid(rand(0,100).$enum);
      
      $prob="";
      $em = filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL);
      $prova = $_GET['prova'];
      if (empty ($_GET['invia'])){
          return;  
      }if (empty ($_GET['recupero'])){
           echo $prob = _INSERTNOMEEPASSW.'<br>'; 
           
           return; 
      }if (!filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL)){
           echo $prob.= _ISNOTEMAIL.'<br>';
           return;  
      
      } 


Ci sono esempi molto più complessi di questo, ovviamente.

Mi scuso se quoto un messaggio così lungo ma nell'esempio 1 c'é una bella SQL INJECTION....

Tralasciamo poi lo stile...nessun controllo sui risultati delle query (che non vengono nemmeno limitate o ordinate), variabili globali, funzioni che non ritornano nulla...poi boh l'esempio 2 anche non vedendo il resto mi sembra proprio concettualemtne sballato: $em è globale (sarà $_GET['recupero']? ma allora perchè poi assegni alla var globale di nuovo quel valore?), poi controlli invece $_GET['***'] senza nessun controllo, poi al posto di controllare em riscrivi tutta la trafila del filter var, ecc. Ah anche l'1 non l'ho mica tanto capito con tutte quelle date

E ho detto tutto...

[json()]

Quote:

Originariamente inviato da airon

Mi scuso se quoto un messaggio così lungo ma in entrambi gli esempi due belle SQL INJECTION....

Tralasciamo poi lo stile...nessun controllo sui risultati delle query (che non vengono nemmeno limitate o ordinate), variabili globali, funzioni che non ritornano nulla...poi boh l'esempio 2 anche non vedendo il resto mi sembra proprio concettualemtne sballato: $em è globale, ci fai una query sopra poi gli cambi valore con la var presa dal POST, poi controlli invece $_GET['recupero'] ecc. Ah anche l'1 non l'ho mica tanto capito con tutte quelle date

E ho detto tutto...

Sono le prime schifezze che ho trovato aprendo la prima cartella sul desktop.
Entrambi gli script sono incompleti e privi di logica, perchè appunto sono solo una piccola parte.
Solo per citare i vari escape_string, specialchars etc..

Codice PHP:

interface updateuser{
    public function set_name();
    public function set_surname();
    public function set_live();
    public function set_bio();
    public function set_hobby();
    
    }

class createfunction implements updateuser{
    public $name;
    public $surname;
    public $live;
    public $bio;
    public $hobby;
    public $who__;
    public $update;
    public $error = array (
    
  "nome" =>  "<h1>inserire un nome da 4 a 10 caratteri, sono ammessi solo numeri e lettere</h1>",
    
  "cognome" =>    "<h1>inserire un cognome da 4 a 10 caratteri, sono ammessi solo numeri e lettere/h1>",
    
  "live"  =>    "<h1>Il luogo in cui vivi non può superare i 15 caratteri</h1>",
     
  "smallbio" =>    "<h1>non superare i 160 caratteri nella sessione biobreve</h1>",
    
  "hobby" =>    "<h1>non superare i 15 caratteri nella sessione hobby</h1>",
    
    );
    function __construct(){
        $this->name = htmlspecialchars  (mysql_real_escape_string ($_GET['nome']));
        $this->surname = htmlspecialchars (mysql_real_escape_string ($_GET['cognome']));
        $this->live = htmlspecialchars (mysql_real_escape_string ($_GET['live']));
        $this->bio = htmlspecialchars (mysql_real_escape_string ( $_GET['bio']));
        $this->hobby = htmlspecialchars (mysql_real_escape_string  ($_GET['interessi']));
        $this->who__ = $_SESSION['mail'];
        
        }
  
   public function set_name(){
          if ( empty ($this->name)){
              return true;
          } if ( strlen ($this->name) > 3 && strlen ($this->name) < 11){
              $query = mysql_query ("update utenti 
              set nome = '$this->name' 
              where mail = '$this->who__'");
              $query2 = mysql_query ("update post
              set nome = '$this->name' 
            
              where mail = '$this->who__'");
              return true;
           }else{
               echo $this->error['nome'];
               
               } 


Poi voglio ancora capire dove, nell'esempio 1 c'è la SQL INJECTION....
mysql_real_escape_string , a cosa serve.

http://www.html.it/articoli/protegge...l-injection-4/



Ho riletto, il commento precedente, dando più peso e importanza alle parole di @aires, sarà che questi script sono le prime porcherie che ho trovato sul desktop.
Ma non riesco a capire cosa c'è di problematico nelle variabili, Globali? Funzioni che non ritornano a nulla?. trafila del filter_var, con sanitize_string?--->PHP 5

[airon]

Beh sul fatto che siano due schifezze siamo d'accordo. Sul fatto che risiedano sul tuo desktop anche.

Io sul mio desktop di schifezze del genere non ne ho, pur usando tutti i giorni CMS. Tra le altre cose privi di logica è una cosa con logica sballata è tutt'altra cosa.

Detto questo, esempio 1 fai la escape su $comment ma poi nella query usi $data alla quale non fai nessun escape.
Certo alla fine sarà solo una data ma conta il concetto a te tanto caro degli escape. Chi mi dice che nell'esempio 2 $em sia stata sistemata prima della query? E li son tutte le mail, di tutti gli utenti....

Però non soffermarti solo sull'escape...c'é di peggio:

esempio 2:
$em da dove la prendi nella prima istruzione? Non mi pare una classe quel codice...quindi presumo sia una var globale.
if() return; /* cosa ritorni? */

In generale tutte le query poi devono essere controllate, anche cosa ritornano....

[json()]

Quote:

Originariamente inviato da airon

Beh sul fatto che siano due schifezze siamo d'accordo. Sul fatto che risiedano sul tuo desktop anche.

Io sul mio desktop di schifezze del genere non ne ho, pur usando tutti i giorni CMS. Tra le altre cose privi di logica è una cosa con logica sballata è tutt'altra cosa.

Detto questo, esempio 1 fai la escape su $comment ma poi nella query usi $data alla quale non fai nessun escape.
Certo alla fine sarà solo una data ma conta il concetto a te tanto caro degli escape. Chi mi dice che nell'esempio 2 $em sia stata sistemata prima della query? E li son tutte le mail, di tutti gli utenti....

Però non soffermarti solo sull'escape...c'é di peggio.

Data è un timestamp unix sulla tabella, non devo fare l'escape di nulla, è il risultato di questa query

Codice PHP:

$this->id = $_SESSION['id'];
    $this->query_fro_num = mysql_query ("
SELECT * FROM post   
WHERE post.iduser IN (SELECT friends.myfriends FROM friends WHERE friends.idmy = '$this->id')  
 ORDER BY post.data DESC 
");
} 


Nell'esempio 1 $em è stata sistemata.
$em = filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL);

Non dimentichiamo che le password sono tutte passate per sha1.

E smettila di offendere per cortesia.
Se non vedi qualche escape è perche è stato passato nel costruttore, in ogni caso.
Impara un pò di netiquette

[airon]

Scusa ma non puoi aggiungere pezzi a tuo piacimento.

Esempio 1:
echo $data = $_POST['time'];
(Qui non c'é costruttore che tenga però...)

So benissimo cosa fa la query ma è pur sempre una SQL INJECTION dato che volendo ti tiro fuori tutti i timestamp dalla tabella post.

Esempio 2:
$em prima di arrivare alla query viene sistemata?
Va bene mi fido, ma perchè poi DOPO la query c'é

$em = filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL);

Io ancora non l'ho capito.

Non sto offendendo nessuno, sei stato tu il primo a dire che erano schiefezze sul tuo desktop, io mi son trovato d'accordo ad una tua affermazione.

Sta di fatto che esempio 1 e 2 hanno uno stile che non è uguale agli snippets postati poi. Sarai migliorato

[json()]

Quote:

Originariamente inviato da airon

Scusa ma non puoi aggiungere pezzi a tuo piacimento.

Esempio 1:
echo $data = $_POST['time'];
So benissimo cosa fa la query ma è pur sempre una SQL INJECTION dato che ti tiro fuori tutti i timestamp dalla tabella post.

Esempio 2:
$em prima di arrivare alla query viene sistema?

$em = filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL);

Va bene mi fido, ma perchè poi DOPO la query c'é

$em = filter_var($_GET['recupero'],FILTER_VALIDATE_EMAIL);

Io ancora non l'ho capito.

Non sto offendendo nessuno, sei stato tu il primo a dire che erano schiefezze sul tuo desktop, io mi son trovato d'accordo ad una tua affermazione.

Sta di fatto che esempio 1 e 2 hanno uno stile che non è uguale agli snippets postati. Sarai migliorato

Ripeto il concetto, ciò che non vedi e passato per il costruttore.
Ecco cos'è un costruttore

Codice PHP:

public function __construct()
{    
  $this->overlay =<<<EOF
<p class="apri">Nuovo Post</p>

<div class="overlay" id="overlay" style="display:none;"></div>
<div id="box">

    
            <div id="menuoverlay">
                    <p class="chiudi">Annulla</p>
<span class="cos">Cosmopolita</span>



</div>
            <form action="home.php" method="post" id="commentpost"  enctype="multipart/form-data"/>
<textarea name="comment"  placeholder="Nuovo post" onClick="sowajax()"> ></textarea>
<label>Aggiuni foto al tuo Post</label>
<input type="file" name="fotopost" /><br />
<input type="submit"  value="Pubblica" style="margin-right:10px"/>
<input type="hidden" name="time" value=""  echo time(); ""   />
</form>
                <hr />
        
</div>
EOF;
     $rand = uniqid (rand (0,100000));
     $this->iduser = $_SESSION['id'];
     $this->nome = addslashes ($_SESSION['nome']);
     $this->cognome =addslashes ($_SESSION['cognome']);
     $this->comment = htmlspecialchars (mysql_real_escape_string ($_POST['comment']));
     $this->data = $_POST['time'];
     $this->fotoid = $_SESSION['foto'];
     $this->mail_id = $_SESSION['mail'];
     $this->fotopost = $_FILES['fotopost']['name'];
     $this->file_tmp_name = $_FILES['fotopost']['tmp_name'];
     $this->file_name_accepted = $_FILES['fotopost']['type'];
    $this->query_pubblic = ("insert into post (iduser,nome,cognome,commento,fotoid,mail,data,fotopost) values (
    '$this->iduser',
    '$this->nome',
    '$this->cognome',
    '$this->comment',
    '$this->fotoid',
    '$this->mail_id',
    '$this->data',
    '$this->fotopost'
    )");
    $this->query_pubblic_solo_foto = ("insert into post (iduser,nome,cognome,fotoid,mail,data,fotopost) values (
    '$this->iduser',
    '$this->nome',
    '$this->cognome',
    '$this->fotoid',
    '$this->mail_id',
    '$this->data',
    '$this->fotopost'
    
    )");
 
    $this->query_solo_post = ("insert into post (iduser,nome,cognome,commento,fotoid,mail,data) values (
    '$this->iduser',
    '$this->nome',
    '$this->cognome',
    '$this->comment',
    '$this->fotoid',
    '$this->mail_id',
    '$this->data'
    
    )");
} 


Ovviamente le sessioni non soffrono di SQL INJECTION.
Una query non è SQL INJECTION.
Si sono migliorato nell'arco di 15 minuti...☺☻☻☻☻☻☻

[airon]

Mi sembra di parlare con un cieco. Va beh. Dagli ultimi post abbiamo capito che sai scrivere codice, sai cos'é un costruttore ecc. ma tra esempio 1/2 e il resto postato non ci passano 15 minuti.

Non commento altro.

Saluti.

[json()]

Quote:

Originariamente inviato da airon

abbiamo capito che sai scrivere codice, sai cos'é un costruttore ecc.

Per fortuna ho montagne di libri cartacei, su cui documentarmi.
Parlare è facile, mostrami il codice..Linus Torvalds

[airon]

Stiamo andando profondamente OT. Sei tu quello che ha postato il "codice".

Io non devo dimostrare niente a nessuno, ne ho mai detto di essere un guru o sapere tutto. Ho però il mio lavoro da parecchi anni, lo faccio con passione, ci campo, anche bene...
Ho solo fatto notare che chi bistratta tanto chi fa uso di CMS e si loda poi si imbroda...

[json()]

Quote:

Originariamente inviato da airon

Stiamo andando profondamente OT. Sei tu quello che ha postato il "codice".

Io non devo dimostrare niente a nessuno, ne ho mai detto di essere un guru o sapere tutto. Ho però il mio lavoro da parecchi anni, lo faccio con passione, ci campo, anche bene...
Ho solo fatto notare che chi bistratta tanto chi fa uso di CMS e si loda poi si imbroda...

Non denigro i cms, ho solo detto che far pagare codice open è scandaloso.
Mi fa piacere del tuo lavro e che ci campi, spero sempre megli per te da davvero con il ♥
Non mi sono lodato ne imbrodato, ho montagne di codice anche non php.
Mi piace programmare, delle volte bene altre peggio.
Ma è la mia passione, il ctrl-c, ctrl-v non mi è mai piacuto.
Detto ciò ognuno faccia ciò che vuole, ho postato il codice , giusto per argomentare un pò, non per lodarmi, avrei postato codice e classi sicuramente migliori di quelle, ma non mi sembrava il caso e non mi sembra tuttora.
Nemmeno io sono un guru, l'informatica è troppo ampia per esserlo, e quando pensi di aver capito qualcosa è propio li che non hai capito niente.

Ribadisco, queste sono solo le mie linee di pensieroe di certo non è la "Vera verità".

Saluti

[airon]

Questo tuo ultimo post già mi piace di più degli altri.

Però far pagare codice open non è scandaloso.
Tu non stai pagando un'installazione di wordpress o di drupal o altro CMS. Tu stai pagando il programmatore. Il suo percorso di studi, le sue nottate sui libri, la sua continua ricerca, le sue capacità, il suo tempo.
Quando ti affidi ad una web agency solitamente ti affidi ad un gruppo di persone competenti che tagliano su misura del cliente un sito web o altro prodotto.

Ci sono aziende che fanno i milioni/miliardi di dollari con software open: MS, Apple, SUN, Red Hat, per citarne alcune.
Restando più nell'area web basti pensare a wordpress.com (il servizio commerciale), aquia su drupal.

[json()]

Quote:

Originariamente inviato da airon

Questo tuo ultimo post già mi piace di più degli altri.

Però far pagare codice open non è scandaloso.
Tu non stai pagando un'installazioe per dire di wordpress o di drupal o altro CMS. Tu stai pagando il programmatore. Il suo percorso di studi, le sue nottate sui libri, la sua continua ricerca, le sue capacità, il suo tempo.


Ci sono aziende che fanno i milioni/miliardi di dollari con software open: MS, Apple, SUN, Red Hat, per citarne alcune.
Restando più nell'area web basti pensare a wordpress.com (il servizio commerciale), aquia su drupal.

Da quet'ultimo post ho capito che abbiamo un concetto d'informatica completamente diverso, siamo propio ai poli opposti.
Più che un cms, al limite useri un framework per risparmiami nu pò di codice.
Ma ripeto ognuno fa ciò che vuole.

[airon]

Sicuramente la pensiamo in modo completamente diverso.

Ti auguro di trovare un posto di lavoro, se già non ce l'hai, che ti permetta di esprimerti in quel modo. Te lo auguro davvero

PS. Non mandare cv alle web agency che fanno siti web

[VICIUS]

Quote:

Originariamente inviato da json()

Non denigro i cms, ho solo detto che far pagare codice open è scandaloso.

Free software non significa gratuito. È una questione di libertà. Non c'è niente di male a vendere free software come fanno Red Hat, Novel, ecc. Questa è una cosa che Stallman cerca sempre di chiarire ma evidentemente è difficile da far entrare nella testa della gente.

In questo caso comunque non c'entra. Non ti stanno vendendo il codice di drupal. Qui si sta parlando di un prodotto creato con free software che è diverso. Il fatto che sia stato realizzato usato un programma che è possibile ottenere gratuitamente non lo rende gratuito a sua volta. Se la clausola "virale" della GPL si dovesse applicare a tutti i documenti creati con free software si scenderebbe nel ridicolo e saremmo tutti costretti a rendere open source le liste della spesa create con libre office. O le foto delle vacanze ritoccate con gimp.

[json()]

[json()]

Quote:

Originariamente inviato da VICIUS

Free software non significa gratuito. È una questione di libertà. Non c'è niente di male a vendere free software come fanno Red Hat, Novel, ecc. Questa è una cosa che Stallman cerca sempre di chiarire ma evidentemente è difficile da far entrare nella testa della gente.

In questo caso comunque non c'entra. Non ti stanno vendendo il codice di drupal. Qui si sta parlando di un prodotto creato con free software che è diverso. Il fatto che sia stato realizzato usato un programma che è possibile ottenere gratuitamente non lo rende gratuito a sua volta. Se la clausola "virale" della GPL si dovesse applicare a tutti i documenti creati con free software si scenderebbe nel ridicolo e saremmo tutti costretti a rendere open source le liste della spesa create con libre office. O le foto delle vacanze ritoccate con gimp.

Questo è fottutamente vero.

Ma personale opinione, è scandaloso ugualmente.

Come puoi vedere è molto ambiguo come discorso.

[cit]
A breve termine è vero. Ma ci sono un'infinità di modi in cui i programmatori possono guadagnarsi da vivere senza vendere i diritti d'uso dei programmi. Questo metodo è comune ai giorni nostri perché porta la maggior quantità di denaro a programmatori e aziende, non perché sia l'unica strada per guadagnarsi da vivere.
[/cit]
http://www.softwarelibero.it/GNU/fil...anifesto.shtml

[OoZic]

Sono stato busy per lavoro e scopro solo ora tutti i reply del thread...

Una marea di cagate così immensa e concentrata in unico thread ammetto che era da tanto tempo che non la leggevo in un forum... E mi sono fermato a metà della seconda pagina perchè stavo per vomitare leggendo json() e tigroneveloce...

Gente che "mio cugino con 10€ lo faceva" o "cosa ci vuole a fare un backend, con 30 righe di codice ti faccio quello che fa Wordpress"...

Io dico solo che dovreste prendere il diploma o la laurea che avete conseguito e pulirvi il ****.

Dopo di che aprite un browser e cominciate a sforzarvi di capire come funziona internet nel 2013 (e più in generale l'informatica), ma viste le premesse credo sarà un arduo lavoro se non impossibile.
Valuterei a quel punto un cambio di lavoro, magari nel settore edile dove potete "costruire" quello che volete (forse...)

[tigroneveloce]

Quote:

Originariamente inviato da OoZic

"cosa ci vuole a fare un backend, con 30 righe di codice ti faccio quello che fa Wordpress"...

Adesso devi citare il messaggio nel quale hai letto questa frase...