Установщик PHP-скриптов (распаковка из одного файла install.php)

Пусть "то" будет, а "это" разрешают. Как раз конфигурацию сервера такой установщик вполне может протестировать и дать подсказки, куда копать, если установка не происходит. Что в этом плохого? Проблемы с конфигурацией могут быть и при традиционной установки с архивами и конфиг-файлом.

Думаю, процент настолько куцых хостингов маленький. Бесплатные я вообще не рассматриваю.

Во-первых, это какие-то ужасные ошибки проектирования, мне кажется, ну или проект какой-то монстрячный. Не должны скрипты столько весить. Во-вторых, тем более тогда не должен выдаваться архив. Зачем гонять столько мегабайт с сервера пользователю, потом от пользователя на его сервер?

Напрямую удобней. Ведь не все живут в Москве и для многих скачка/закачка даже 10-20 Мб может стоить лишнего часа потерянного времени. А то и больше, учитывая качество связи в регионах.

BrokenBrake добавил 20.10.2009 в 19:22

Кому проще?

Любой установщик, хоть от МС ОФИС итд; sugarcrm такой установщик имеет. Но файл конфигурации не стоит отменять, например при переезде на другой домен, смены пароля пользователя БД, проще поменять одну строчку вручную, чем запускать ненужные мастера.

Запаковывать все в install.php не катит, т.к. при размере несколько метров (визивиги и т.д.) он может уже не распаковаться нормально из-за ограничений хостинга. Плюс не на всех хостингах окажется архиватор нормальный, а эмулировать на пхп архиватор это жесть.И наконец самая частая проблема, это права и владельцы файлов, в случае если они создаются скриптом. Бороться с последствиями этого не каждый программер-то умеет. Так что подход "все в одном файле php, саморазархивирующемся" он на практике неудачен.

Лично нам нравится подход smf: закачиваешь файл инсталла, вбиваешь фтп данные, он заливает все на сервер. Потом обычный инсталлятор где указываются данные для доступа в БД. При небольшой доработке он еще и права все как надо расставит с учетом хостинга и директорию сам правильно всегда определит для инсталляции, т.е. напряга минимум. Способ универсальный абсолютно.

Из "атипичных" примеров, один раз сами делали инсталлятор очень простой, когда надо было наклепать реально много вордпрессных сайтов на типичных хостингах. Там вообще все просто с точки зрения юзера - вводишь логин/пароль/адрес сайта, скрипт определяет панель (цпанель, директадмин, плеск, испманагер), заливает файлы по фтп, через панель создает БД, создает нужные таблицы, прописывает в конфиг нужные данные и выходит.

В случае если панель не определялась, то все происходило как в смф - т.е. только заливка скриптов и настройка прав доступа, данные базы надо было вбивать отдельно.

p.s.: Говоря об фтп/логина/паролях/паранойе подразумеваем что оные данные вбиваются не на сайте производителя цмс-ки, а непосредственно на сайте куда все это ставится. Заставлять их вбивать на сайте производителя цмс-ки, это настолько рисковать своей репутацией, что в здравом уме и твердой памяти делать этого не стоит.

Сейчас как раз уже опробовал существующие велосипеды - все они с косяками, действительно сложная задача. Вы правильно заметили, что основная проблема с правами.

Свой велосипед пока тоже не очень-то получается сделать. А жаль. Ещё помучаюсь пару часов, и если не выйдет, выпущу обычный дистрибутив архивом, наверно :(

если я правильно понял, то у битрикса такое решение тоже есть:

http://www.1c-bitrix.ru/download/cms.php#tab-bitrixsetup-link

orphelin, да, похоже. Надо посмотреть, спасибо. Только они маленько тупые :)

Если открыть ссылку "скачать" в браузере, то она именно открывается, а не скачивается.

BrokenBrake добавил 20.10.2009 в 20:58

Фигня. В таком установщике мало смысла.

BrokenBrake добавил 20.10.2009 в 21:01

Но ведь при этом просто создаётся иллюзия защищённости, снять эти данные можно точно также, и многие пользователи это осознают. Следовательно, какой смысл? Если пользователь доверяет: введёт данные и на сайте производителя. Если доверия нет, то и на своём сайте вводить не будет.

BrokenBrake, у битрикса просто есть что-то вроде набора авторизованных хостеров, у которых есть тарифы как раз под эту cms. по идее там все должно срабатывать.

я как то пробовал устаналивать cms через этот скрипт, года два назад. все получалось, но потом действительно была проблема с правами. те файлы, что создал скрипт удалось удалить только другим скриптом, который пришлось написать для этих целей :)

Есть 2 типа доверия к производителю в этом контексте.

1) Доверие в том плане, что производитель сам не подсунет трояна.

2) Доверие в том плане, что никто сайт производителя не хакнет.

Первое доверие достаточно обосновано. И говоря о возможности "снять данные точно так же", Вы говорите только о первом типе доверия. Мы же говорим скорее о втором.

И вот второе, особенно учитывая сколько сейчас вирусов всяких и что сайт производителя где пользователи вводят свои логины/пароли хакерам будет очень интересен, изрядно необосновано. Мы бы даже себе в этом смысле не особо доверяли бы. Даже если не записывать эти пароли надолго, то все равно есть риск трояна, который Вам подсунут и который их будет коллекционировать. Вы вот можете быть 100% уверены, что Ваш сайт не взломают никоим образом и не соберут пароли которые введут у Вас юзеры?

Плюс Вам, как производителю, нужны допустим ситуации типа следующей? Сайт пользователя взломали войдя по фтп логину и паролю, который утащили у него трояном. А он потом рассказывает что вбивал фтп логин и пароль только у Вас на сайте и все шишки адресует в Вашем направлении. А Вы сидите не при делах, но весь в ... шишках.

Безусловно, если сайт производителя взломают, то могут и дистрибутив инсталлятора подменить. Но такая ситуация намного проще отслеживается, зацепляет намного меньше людей, намного быстрее детектируется и в целом от нее достаточно легко защититься.

Тут основной смысл в том, что заставляя пользователей вводить логин и пароль у Вас на сайте, Вы создаете центральную точку уязвимости.

И еще один важный технический/практический момент. Если пользователь вводит пароль и логин у Вас на сайте, он еще как минимум должен указать адрес сайта и папку куда загружать файлы. Если же он вводит эти данные у себя на сайте, в скрипт залитый в корень, то скрипт все эту инфу может собрать сам. Опять же - в итоге это проще.

http://fetcj.com/rus/scripts.html - конечно это не совсем то, но с задачей установки справляется. Правда не безопасно, при установки права надо выставлять неприятные (777)

а когда вы скачиваете софт с сайта производителя и сами заливаете их на сервер этих проблем нет? или же вы каждый файл проверяете на наличие троянов и "интересных строчек кода" перед загрузкой? 😂