ArtemPitov Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Доброго времени суток господа! Вот тут на выходных стало скучно и решил я полазить в дебри опенкарта, поискать "пробоины для уколов" и что то не могу найти =) не ужели все так хорошо или может где-то есть лазейки ? Давайте же немного по холиварим на тему безопасности ОП Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Ну.. почему же Если не сделать $this->db->escape, или (int) то возможны варианты Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Доброго времени суток господа! Вот тут на выходных стало скучно и решил я полазить в дебри опенкарта, поискать "пробоины для уколов" и что то не могу найти =) не ужели все так хорошо или может где-то есть лазейки ? Давайте же немного по холиварим на тему безопасности ОП Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 это понятно, но для тут нужно быть совсем криворуким Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Надіслати Поділитися на інших сайтах More sharing options... vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Ну.. почему же Если не сделать $this->db->escape, или (int) то возможны варианты Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Доброго времени суток господа! Вот тут на выходных стало скучно и решил я полазить в дебри опенкарта, поискать "пробоины для уколов" и что то не могу найти =) не ужели все так хорошо или может где-то есть лазейки ? Давайте же немного по холиварим на тему безопасности ОП Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 это понятно, но для тут нужно быть совсем криворуким Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Надіслати Поділитися на інших сайтах More sharing options... vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Доброго времени суток господа! Вот тут на выходных стало скучно и решил я полазить в дебри опенкарта, поискать "пробоины для уколов" и что то не могу найти =) не ужели все так хорошо или может где-то есть лазейки ? Давайте же немного по холиварим на тему безопасности ОП Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 это понятно, но для тут нужно быть совсем криворуким Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Надіслати Поділитися на інших сайтах More sharing options... vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 это понятно, но для тут нужно быть совсем криворуким Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Надіслати Поділитися на інших сайтах More sharing options... vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Да с безопасностью у opencart всё в порядке Единая точка входа (правда видел пару модулей перлов со своей точкой входа, за такое по рукам надо давать), все "проверки" присутствуют. Вероятность закосячить минимальная. это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Надіслати Поділитися на інших сайтах More sharing options... vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
vasilev86 Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 подпишусь Надіслати Поділитися на інших сайтах More sharing options...
chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 это какие модули если не секрет ? Да, и зачем делать дополнительные точки входе, глупо же Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 Ну.. не совсем глупо.. Если нужен, например "быстрый" обрезанный функционал А пример.. Популярная всплывающая корзина. да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 да, это я видел Но иногда эти не совсем нужные "рюшечки" могут выйти боком Обычно и выходят Стандарты нельзя нарушать Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Да, и зачем делать дополнительные точки входе, глупо же Это какую-то страницу выводить через отдельный входной скрипт глупо, а как, например, быть с кроном? А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). Надіслати Поділитися на інших сайтах More sharing options...
chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутнымНормально если кронн запукать с wgetИ проверять секруити код Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Я делаю похожим образом, но без wget, а ключ читаю из $argv. Можно, кстати, ещё проверять, что php_sapi_name() содержит cli, но там есть нюансы с точным названием в разных окружениях. Надіслати Поділитися на інших сайтах More sharing options...
chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 ну.. как вариант.., но по сути, $argv. нужно распихивать в массив $_POST $_GET Но.. нужно подключать полноценно весь стартап в 2.2. это стало немного проще и логичней наличие - "клиента" Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options... ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 но по сути, $argv. нужно распихивать в массив $_POST $_GET Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. Надіслати Поділитися на інших сайтах More sharing options...
ArtemPitov Опубліковано: 10 липня 2016 Автор Share Опубліковано: 10 липня 2016 А на счёт уязвимостей: первое, что приходит в голову - полное отсутствие защиты от CSRF на стороне витрины (в админке - токены). ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
chukcha Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Зачем? Если там только ключ для защиты от внешних запросов, то его можно сразу проверить и всё. а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 так и с кроном нужно быть уккарутным Нормально если кронн запукать с wget И проверять секруити код Это не нормально запускать крон через WGET Погуглите cli opencart, не смешите людей. Не нужно никаких проверочных кодов, достаточно запретить доступ к скрипту из мира. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Cli скритпы необходимы для длительных операций, которые находятся за рамками time limit 30. К сожалению многие писатели модулей в корне не понимают что такое отказоустойчивая безопасная система и как один писатель обработчика CSV не буду тыкать пальцем, требуют тайм лимит 200. я бы расстреливал за такое. 1 Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Разное Курилка SQL inject
snastik Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 Что касается ответа на вопрос топик стартера - предлагаю немножко покурить вот тут. Я залип сам часа на четыре когда первый раз увидел. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options... snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
Dotrox Опубліковано: 10 липня 2016 Share Опубліковано: 10 липня 2016 а если тебе понадобятся другие модели? Или как ты получишь массив конфига - сам его будешь ансериализовать? Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Запланированные задачи cli как правило не нужны для того чтобы они делались по расписанию через фронтенд - это можно эмулировать без проблем запуском ajax вызова на контроллер и проверкой пришло ли время его запускать или нет. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. ну если не проводить финансовые операции и хранить данные карточек то вполне сносно, но это магазин так что всякое может быть Можно что то свое написать с токенами солю и прочим .... Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Надіслати Поділитися на інших сайтах More sharing options...
snastik Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Видимо, мы о разном говорим. Я имел ввиду, что в $argv только ключ, который сразу проверяется и всё. А остальной код уже по потребностям и в том числе может и не сильно отличаться от обычного входного скрипта, если есть необходимость. Ну да, например, отправка почтовой рассылки - как раз пример работы через фронтенд. Когда в базе всего сотня покупателей - всё отлично, но когда их там тысячи - это превращается в полнейший маразм. Ну, и вообще, смысл крон задач как раз в том, чтоб они делались без какого-либо человеческого участия и фронтенд тут никак не клеится. Так в том и суть, что это магазин. В любом нормальном фреймворке это из коробки, а тут магазин и 10 лет движку, но до сих пор этого нет. Тут же вопрос не только в финансовых операциях. Можно, например, подменить адрес покупателя и получить чужой заказ (а после отправки заказа исправить обратно и концы в воду). Да и даже без таких изощрённых сценариев - просто возможность получения посторонними доступа к аккаунту покупателя - само по себе уже проблема, на которую нельзя закрывать глаза. Тем более, что на ОК делают не только классические магазины - например, для мультимерчанта это уже критическая проблема. Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Dotrox Опубліковано: 11 липня 2016 Share Опубліковано: 11 липня 2016 Не готов с вами вступать в дискуссии, так как у вас такое количество HOW TO вопросов присутствует, что складывается ощущение что в гугле забанили! Сколько пафоса :) Нет тут вопросов - сплошные утверждения. А ответы из разряда "я такой умный, что даже отвечать вам не буду" - указывают на отсутствие аргументов. Я высказал свою точку зрения. Если кому-то есть что добавить или возразить, то вперёд - для этого форумы и существуют (а не для того, чтоб повышать свою самооценку). 2 Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts