Ecshop、Discuz! 等開源產品的侷限

記得今年年初，我初次接觸Discuz!和Ecshop時，一陣陣地驚歎：成熟度這麼高的產品，竟然是免費的。咱們這些搞傳統軟件開發的要怎麼活？另外也奇怪，作這些產品的公司，他們要怎麼活？

我公司的網站，原型正好是用Ecshop和Discuz！，到開發方移交給咱們後，咱們作二次開發，深刻了解了其代碼，早期的疑惑纔有了答案。

能夠說，這些產品，都沒法支持真正嚴肅的應用環境。

1）全部的數據庫訪問都不用mysqli鏈接，所以沒法用prepared statement,而所有用拼接方式。

這些系統，對數據庫（主要都是mysql)的訪問，所有采用sql拼接方式。舉一個Ecshop的例子：

   $w_openid = $db -> getOne("SELECT `wxid` FROM `wxch_user` WHERE `wxid` = '$openid'");

或相似

   $wxch_user_sql = "INSERT INTO `$thistable` ( `user_name`,`password`,`field3`,`field4`) VALUES ('$variable1','$variable2','value3','value4')";
   $db -> query($wxch_user_sql);

 

這種語句，偶爾出現倒也能夠理解，若是全部的地方都是這樣（正如Ecshop)，則應該出於對數據庫只有入門水平的人手裏。由於他徹底沒有使用prepared statement的概念。

因此，這種系統幾我的用應該是快如閃電，併發量一大，後臺數據庫可能被攪成一鍋粥了。

正確的鏈接數據庫的方法應該是：

 $mysqli = new mysqli("server", "username", "password", "database_name");

而不是

$conn = mysql_connect('server','username','password') or die ("數據鏈接錯誤!!!");

　正確的sql語句應該是：

$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

$stmt->bind_param("s", $safe_variable);

$stmt->execute();

而不是前面那樣。

　

2）系統安全性極差

由於不用prepared statement，只要編程人員不注意，sql injection能夠說處處都有可能。但看看他們的代碼，能夠說壓根不注意。由於這些系統，對用戶輸入幾乎不用轉義。

對於已經很爛的代碼，正確的用法是應該有第二行：

$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);

mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

但在這些系統裏，上面的第二行不多看到。

這樣形成的問題就是，針對這些系統的機器人極多。基本上你的論壇上線不久很快就被機器人發的水貼、廣告貼盯上了。

 

本人對這些系統研究還很膚淺，不過看到這兩條，就已經明白，這種系統是供學習用的。開發這些產品的公司，他們的水平很高，不太高質量的代碼應該是用在了商業性收費的產品上。你們別覺得能夠撿到便宜。

 

轉載請註明出處：cnblogs上的海邊的駱駝博客。原博文地址：http://www.cnblogs.com/yingjiang/p/4750408.html