作者:保佑欣疼你的芯疼 | 2021-08-30 19:00
github.comlpreteritedachuwang看了一下整个服务器端都有,这是咋泄露的?那个readme里面的内容应该是原来就有,也就是说大厨网用git做版本控制咯?以及这个服务器端源码,有熟悉服务器端的大神从架构、采用技术、安全、代码规范等方面评价一下么?
https://github.com/lpreterite/dachuwang看了一下整个服务器端都有,这是咋泄露的?
那个readme里面的内容应该是原来就有,也就是说大厨网用git做版本控制咯?
以及这个服务器端源码,有熟悉服务器端的大神从架构、采用技术、安全、代码规范等方面评价一下么?
回复内容:
前端方面还行,就是后端PHP有点奇葩
1, 使用的框架比较古老,编码规范等都有点OUT,不符合PSR规范,整个项目没有使用namespace, 虽然使用了注释,但也大部分不符合PHPdoc格式,所以就无法借助IDE(包括Subl)来提高编码效率,开发和维护这个项目是有点痛苦的。
2,内部大量使用了如下http转发方式来解耦:
//CRM子系统里的用户编辑就转发到S系统的user/edit下
$return = $this->format_query('/user/edit', $_POST);
$this->_return_json($return);
没人要请我,那我就不请自来了。
粗糙看了下,这个与其说是泄漏,还不如说是公司有计划的开源。
且听我娓娓道来:
1、如果这套项目是泄漏出来的,那它们集团已经报警,估计当事人也已经被抓,而不会让你们在知乎上谈论。
2、看了下那个github帐号,不像是小号,而是一个常规号。常规号一般都很容易顺藤摸瓜找到拥有者,假设这套代码真的是偷来的,一般都直接打个压缩包扔上网,最多命名为“XXX泄漏源码”就算了,不可能还放github,这得低IQ和EQ才会这么做啊。
3、再看看那个readme,上面的东西写得非常清楚,连怎么用Angularjs都教了,同样的,这得多敬(傻)业(逼)的小偷才会这么做?
4、源代码开源或者开放,并不代表不安全,而事实上,我看这里的标签是“PHP”,就PHP而言,网上有多少的论坛是用DNZ?有多少框架是用ThinkPHP?这些东西都是开源的,你能够因此就判定不安全吗?
5、既然该代码敢于开放源码,相信也对自己的代码有足够的信心,至少应该不会有 eval($_GET["e"]) 出现吧?或许,人家公司已经换了新代码,把这套废弃了,然后扔出来。
以上~~
我司某员工离职后不慎备份到自己的github,后被gdby迅速恶意fork,而gdby还泄漏了苏宁的客户端代码,总感觉就是被牵连的啊(虽然已经离职了,代码泄漏不关我事233
另外看到上面有人说做了几年,其实这些东西总共就写了半年而已(所以你们大可以从时间上推断出来一些东西233
1 公司为了出名自我炒作
2 离职员工so show
3 无良在职员工
你们要知道,自己泄露出去不是件很容易的事情
初略看了一下,模块划分清晰,代码格式很规范,代码质量相当不错,值得学习。
其实就是一个公司,做了几年以后,积累的一些代码啦~ 实在是没什么耐心仔细去研究,没什么好学的啦。随便看了两眼,看出来几个东西,就是用的CI框架,写了好多好多的网站,做不同的用途。也有API。后端service是尤其关心的,可惜也没什么看头啦,就一个imgUpload和一个geoip,用了python,lua之类的东西,可见,代码异构总是难以避免的。
前端看Readme.md貌似有用Angular,正好最近在看,所以先fork了,看看他们前端怎么写Angular的。
另外,上个月还是更久一点前,我在朋友圈看到了好多一亩田的负面……
7月29日,南京一家媒体发表《一亩田万亿奇迹疑云:夸张和欺骗其实只隔一层纸》,直接指出一亩田造假,此文迅速在朋友圈热转。
类似这种的,百度一搜一大堆。
大体上,我认为,程序员干这种事情是不道德的,泄露这个代码的人,我是绝对不会建议雇佣的,没有基本职业道德。不管公司好还是不好,公司对你公平不公平,作为雇员,还是应该本分的。
代码泄露,说大,问题不大,说小,也绝不小。对于业务来说,拿到代码,也无法复刻该公司的业务,也无法实现该公司的价值,所以,代码本质上没什么用的。你以为给你百度的全部源码,你能打败百度么?没卵用的。
但是,代码事关公司的安全,别有用心的黑客,以代码为依据,发现漏洞,针对攻击,对公司的客户构成威胁,窃取商业机密,甚至要挟敲诈勒索,陷公司于极端被动的局面,真是糟糕透顶。
可是,也并没什么好方法防范啊~ 唉
小兄不才,有没有人把这个个项目跑通的,我想通过此方式学习一下PHP谢谢!