Анализ кода php

[Major Keis]

Баня ваще интимная вещь: кто-то веник берёт, кто-то бабу.

[Павел F.]

Ну, если не сильно очкуешь, присылай оригинал и измененное. Я не настоящий доктор, но пхп знаю и, если правок реально не вот много, быстро сравнить можно. Для оплаты достаточно спасибы, но если изменений очень много или сильно гениальные и непонятные решения , то долго думать и смотреть дальше смотреть не буду.

[Archimed]

Лучше всего, конечно, и то и другое

[axel]

а движок то какой основа? или самопис?

[Sinner]

Одного понять не могу, как бабой-то париться?

[axel]

правильно.. надо еще взять пива и не париться

[Major Keis]

Yii2.

[Demige]

не париться, а пороться.

[axel]

ох ё..

[Major Keis]

Да нормальный он, чоты!

[MadM]

Перевожу: понять, что дописано - т.е. понять смысл внесённых правок. Грубо говоря, не п..дит ли оно данные из базы и не отправляет ли куда-то налево.

выкладывай сюда простыней быстро оценим

[LOM]

да нормальный, автор с 2010 его переписывал, а последние 2 года совсем забил. баги комьюнити правит.

[javdet]

> не отправляет ли куда-то

Ну, это маловероятный сценарий. База должна быть сильно ценной, чтобы фрилансер, изначально не охотящийся за ней, увидев какое богатство попало к нему в руки, добавил в код соединение со своей базой данных (или вызовы API своего сервера).

Во-первых, все внешние вызовы дововольно-таки легко "палятся".
Во-вторых, он реально должен быть заинтересован в данных, ибо ему пришлось бы поднять и поддерживать круглосуточно спецсервер (ну или повесить эту работу на один из своих существующих рабочих, что засветит его).
В-третьих, можно, конечно, предположить, что данные не "сливаются" в режиме реального времени, а написан код, который аккумулирует данные за некий период и затем "выстреливает" накопленное, скажем, электронным письмом. Но это всё такое...

[Major Keis]

Ну а вдруг.

[axel]

проще заднийпроход оставить.. чтоб потом спокойно зайти и слить всю базу..

[410]

У тебя шиза

[Andrey]

Странный у вас, батенька, подход. Вешать систему out-вызовов в код, изначально для сего не предназначенный, который будет работать в достоверно неизвестном окружении, в котором легко может оказаться disable_functions отнюдь не пустой, да ещё файрвол хрен какой, палить какие-то адреса, чтоб к ним цепляться... Сложно, геморно, ненадёжно.

Уж если "тырить базу" - куда проще сунуть в код обработчиков верхнего уровня (в рамках MVC куда-то в уровень View) возможность прямых sql-запросов к базе минуя штатные обработчики. В этом случае входящий коннект идёт штатным 80/443, что вряд ли блочит файрволом (ибо веб-сервер же), исходящих открытий нет вообще, обращаться можно, прикрывшись проксями-vpn-тором, что сделает весьма сложным вычислить "конечный хост". Да и шастать в базу можно хоть в 3G/4G модема - не надо ничего "поддерживать круглосуточно", а базу можно утыривать потихоньку диапазональными выборками, не создавая хоть сколь-нидь заметной нагрузки на сервак, во избежании "случайного просекания" поисковиками/сканерами можно даже прикрыться какой-нидь hash-кукой "кривой", при отсутствии которой просто пихать 404 в ответ.

Если не борзеть - можно подсасывать такой закладкой базу даже длительное время, пока кто-нидь не выкопает эту "закладку".

Ты прям как не рыбак

[МойРульСправа]

ты ему оригинальный дамп делал или фэйковыми данными забил?

[Major Keis]

маленький кусок оригинала