Кто-нибудь еще использует PHP < 5.4?

Нет, не показал.

Ну и лано.

---------- Добавлено 20.03.2017 в 10:27 ----------

Ну и лано.

Не понимаю зачем делать резервные копии если у меня еще никогда ничего не сыпалось. Вот когда потеряю инфу, тогда и начну.

Смешно?

Когда у старых версий дыры найдут и опубликуют - будет поздно.

Предохраняются до. Или во время. Есть конечно еще Нарзан, но это уже для гарантии). После - это уже борьба с последствиями.

Я понимаю что если сайт не особо важен, разбираться лень, взломают и ладно, откатим на бекап месячной давности, за пару недель из гугла с яндексом уйдет плашка вирусности, позиции вернутся и ладно....

Но если все это страшно, то лучше предохраняться.

---------- Добавлено 20.03.2017 в 10:34 ----------

Строго говоря в основном говносайтов.

Там уязвимость срабатывала в очень специфичном контексте.

Насколько я помню надо было чтобы у хостера права были прописаны слишком широко у юзера от которого выполняют (что сейчас повсеместно, ибо лень каждому объяснять что он дурак, и нужно права выставлять и т.п.), почту слать через mail (что несколько странно, на шареде это часто проблемно в плане доставки, но на большом проекте где почта своя, да уместно может быть), и главное - отдавать библиотеке нефильтрованные данные. а это уже вордпресс какой-то прямо (троллю да).

Меня удивила история с Мускулом. Там да, жестко было с правами.

В пхпмейлере меня еще удивило что все ставят библиотеку через композер и все такое, а у них до сих пор нет неймспейсов. Не две версии, а одна, свежая, без неймспейсов. У них не так много файлов чтобы нужно было много переделывать. Но не переделали. Я когда дозрел, у меня во фреймворке было около 300 классов, и еще столько же всяких конфигов, шаблонов, где изредко но имя класса встречалось.. Перевел за неделю. А тут шесть файлов и ребятам лень.

(не возмутило, сам таких хвостов вагоны оставляю, удивило именно, ведь уже сколько лет 5.3 существует а библиотека популярная).

Они есть и давно опубликованы. Просто налицо эффект неуловимого Джо.

А может даже "ребёнок в домике" - сайт давно взломан, но этого никто не замечает/не хочет видеть. Достаточно частая, кстати, ситуация. Кто там те логи анализирует - единицы ж.

ЗЫ. Блин мой тупой 3Ж задублировал пред. пост. Но получалось эффектно :)

И смотрим, и анализируем. Тут дело-то не в свежести софта. А в том, что вероятность взлома существует всегда. Без разницы, на какой версии какой говнопроги. Конкретно у меня защита всегда не столько от взлома, сколько от попыток именно СТАНДАРТНОГО взлома. Вот и бродят у меня по сайтам сотни говнопауков, сканеров, запрашивающих и запрашивающих миллионы несуществующих страниц и пытаясь вывести из себя движки. Бродят годами. И ещё бродить будут. Пускай я буду неуловимым Джо - может быть, за это мне и платят деньги клиенты. :)

Да, конечно использую. А зачем нужен php > 5.4?

Сейчас проверил один из хостингов - там php 5.3, все работает, уже 2011 года, сайты быстро грузятся, формы отправляются, сжатие и кэширование работает, позиции в пс - первая тройка-пятерка. Зачем менять-то? В нем каие-то новые функции появились, чтоли, без которых "современные" сайты не могут обойтись?

Как, вы не знали? Оно теперь не понимает HEX-цифры в строке. Строка "0x123" теперь для него - не цифра. Я этого так ждал, это так нужно!

Есть миллион способов взломать сайт, те кому нужно скорее всего сделают это. Есть 0-day уязвимости, которые публикуются на закрытых форумах. Есть банальная невнимательность сисадмина (открытый порт Redis, локальные бекапы в директории доступной из вне, etc.). Есть социальная инженерия. Есть социальная инженерия направленная на менеджеров и тех, кто не знает про безопасность, но имеют хоть какие-то доступы на сайт. На крайний случай, есть терморектальный криптоанализатор.

---------- Добавлено 20.03.2017 в 12:09 ----------

Оно и не понимало HEX в строке, и не должно понимать. Какого поведения вы ожидали?

Есть еще момент несовпадения факторов. Очень частая ситуация кстати.

Я когда вышла первая уязвимость пхпмейлера - прочитал, и отложил в долгий ящик, только через неделю пошел читать код, обновлять библиотеку и т.п.

Из двух десятков сайтов на поддержке где пхпмейлер - ни на одном не используется mail.

булка выдает ошибку базы данных при перегрузе субд на впс где стоит серч.

Скорее всего лечится увеличением колва конекшенов или заменой постоянных конекшенов на временные (второе вероятнее всего), но возможно цифра и объективная, мы же не знаем насколько мощный/слабый сервер.

Вебсервер выдает нам заглушку об ошибке.

Чисто интуитивно мы все считаем, что раз ошибка базы, значит нихрена не сохранилось, и перепосылаем еще раз.

По факту - упасть он может не только в момент сохранения, и до, и после.

Булка сильно много мусорит лишними запросами, всякие плагины, вбсео и т.п.

(не критикую, булка динозавр, да и не у всех даже свежих в этом порядка нет, просто констатирую факт), и часто падает она уже ПОСЛЕ сохранения.

Отсюда и дубли.

В принципе дубли вылечить относительно просто - перевести таблицы из майисам в инодб (почему-то мне кажется что там майисам) и запихнуть буквально во входной скрипт, или чуть позже - открытие/закрытие транзакции.

Но тут надо смотреть по контексту, это может как увеличить производительность, так и намертво увести в дедлоки. Так что как и с регулярными падениями - поскольку доступа "под капот" у нас нет, то миримся с дублями).

Хотя... вот. Где-то на подкорке у меня лежит мысль, что вроде или в основной настройке или в каком-то плагине у булки была защита от дубля вида "вы уже постили в эту тему точно такой же текст менее 5 минут назад".

---------- Добавлено 20.03.2017 в 14:24 ----------

Можно вместо array() писать []. Везде.

Разве ради этого не стоит проапгрейдится?)

Если серьезно то не помню где конкретно остальные фишки появлялись.

Автозагрузка классов покрасивее стала, это упрощает интеграцию множества библиотек в один проект.

Генераторы, Трейты, много полезных итераторов, много говна задепрекейтили.

Скорость работы увеличилась. Не помню когда SPL появился, и структуры в нем разные, но в 5.3 я его еще точно не юзал.

Но главное конечно то что давно с поддержки сняли, и то что новые версии более требовательны к чистоте кода. Если твой код не хочет завестить на свежем пхп, то высока вероятность что у тебя и раньше были проблемы, но ты о них не знал, потому что тебе много прощали.

Ну и есть еще такая тема, как то что уже было в прошлых версиях вроде как и давно, но мы не использовали, ведь хоть мы и пишем скажем под 5.3, но помним что возможно расширений некоторых и не будет, или может оно и под 5.2 взлетит, да и вообще - требование 5.3 мы поставили, но конструкторы пхп4-стайл еще не убрали, ибо привычка....

Вот я лично хоть и добавил требование пхп5.3 давно, но неймспейсы начал использовать уже под 5.4, а обязательно - под 5.6...

http://php.net/manual/en/migration70.incompatible.php