Eerste reactie: Wow software die een bugje heeft.
Tweede reactie: Die kan maar door 1 persoon gepost worden.

Maar wat staat er nu eigenlijk... Want er staat helemaal niets in het topic wat eigenlijk een discussie start. Dus wat is nu eigenlijk je bedoeling van dit topic?

Laten we eens kijken op je link. Komen we op een site uit die maar 1 post heeft naar ttps://blog.remirepo.net/post/2019/05/23/PHP-extensions-status-with-upcoming-PHP-7.4
En gaan we daar naar toe, dan zie we de PHP extensions status with upcoming PHP 7.4

Wow... De wereld vergaat nu in eens...... PHP 7.4 heeft nog wat compatibiliteit issues. Wereld schokkend nieuws.

Mocht je het nog niet door hebben, een groot gedeelte draait big op niet meer ondersteunde PHP versies.

Er is een klaag baak bij FOK, misschien moet je daar eens naar toe gaan en daar dit soort posts plaatsen? Want dit is gewoon een storm in een glas water.

/BaggerTopics of #BaggerTopics

Dit is geen nieuws en wat er daarna doorgelinkt wordt ziet er ook niet bijzonder nieuwswaardig uit. Dus wat is het punt nu?

Zoek betere ICT-ers die met rommel ook iets goeds kunnen maken. De kost gaat voor de baat..

Het internet is bedoeld om gebroken te worden, zoals de geest van de dev.

Ja, daar schijn jij alles vanaf te weten.

Een van die segfaultende extensies heb ik nodig dus ik hoop dat dit (tijdig) gefixt wordt. En dit is toch niet normaal! Is het dan echt allemaal zo kritisch onder de motorkap dat men backwards compatibility maar laat varen en je er maar op moet vertrouwen dat de makers van zo'n extensie tijdig de benodigde aanpassingen doen en een nieuwe versie uitbrengen? Bah.

Als je wat langer meeloopt met ICT ken je dat soort situaties. Om de 5 jaar complete systeemmigraties.

Wat nu als de extensie die jij nodig hebt dusdanige bagger onder de motorkap heeft dat een striktere interface in de PHP voor veiligere afhandeling problemen in jou extensie veroorzaakt. De veroorzaker is dan niet PHP maar die extensie waar je je nu aan vast wilt houden. Ik ken die redenering vanuit ICT managers die onderhoudskosten zagen oplopen van de eigen slechte software waar een onderliggende laag vernieuwd werd. Mits goed aan de interface richtlijnen gehouden zou dat probleemloos moeten zijn. Tja interfacerichtlijnen en porten, het blijft een uitdaging.


Ik zou zeggen lees je in in PHP https://www.php.net/manual/en/migration70.incompatible.php
De gedocumenteerde variabele schrijfwijze verandering lijkt verdacht veel op de rekenregels volgorde, heel basic.
Niets bijzonders dat het mis gaat zoiets als je codeert in een trial en error werkwijze en niet in een zo net mogelijke niet voor meerdere uitleg vatbare coderingswijze.

Het gaat natuurlijk om de interface die de extensie met PHP maakt.


Wat een onzinverhaal.

PHP 7.4 is nog niet uit en voor zover ik zie bij deze blogpost zijn al deze extensies wel werkend op 7.3. Waarom neem je aan dat ze niet gefixt zijn voordat 7.4 echt gereleased word?

Die mag veranderen met de releases en hoort te veranderen als met wat grotere aanpassing te maken hebt.
Met een interpreter en jit aanpak heb je de uitdagingen dat alles opnieuw vertaald moet worden en dat code van trial error methodes ineens wat anders kunnen geven. Niet alles is behoorlijk vastgelegd hoe het hoort te functioneren.
Dan hoor je "ik probeer wel wat", "kijk het werkt, dus dan hoort het zo" Vervolgens gaat het bij de systeemomzetting fout..
Reactie als het heeft altijd gewerkt dus ligt het aan de systeemaanpassing en niet aan die foute code. zijn de basis dat upgrades gevaarlijk zijn. Zeker als de code een bijeengeraapt zooitje is vanuit verschillende bronnen zonder overzicht zonder inzicht.

https://devzone.zend.com/303/extension-writing-part-i-introduction-to-php-and-zend/ Als je de basis van interepreters jit etc gewoon mist.
"If you’re reading this tutorial, you probably have some interest in writing an extension for the PHP language. If not… well perhaps when we’re done you’ll have discovered an interest you didn’t know existed!
This tutorial assumes basic familiarity with both the PHP language and the language the PHP interpreter is written in: C. "
Geschreven in C als je PHP als taal een ramp vindt dan moet C ook een taal zijn die rampzalig is. Moeten we alles wat in C geschreven is afdoen als onbetrouwbaar. Heb je enige idee wat er allemaal in die gevaarlijke onbegrijpleiijke taal C gemaakt is?

Wat een onzinverhaal.

3+2 * 5**2 = ? volgens jou 625 tik maar in op je goedkope rekenmachientje. Heb je de rekenregels geleerd dan is het 53
een schrijfwijze zonder misvatting is 3 + ( 2 * (5**2)) =53 . Kijk naar de opmerking in PHP compatibiliteit dan zie dat er wat aannames met volgorde zijn omgedraaid. Ik wil niet van jou leren als je dit soort basis kennis al mist.

Wat heb je toch geslikt karma4? Mijn rekenmachientje geeft (natuurlijk) gewoon wat het volgens meneer van dalen wacht op antwoord zou moeten zijn, 53. En de professionele programmeur gebruikt sowieso veel haakjes om misvattingen als de jouwe bij toekomstige lezers van de programmacode te voorkomen.

Ik heb niets geslikt hoor ik zei ook goedkope rekenmachientje, eentje die niets onthoud maar meteen de berekening uitvoert.
De professionele programmeur zou die haakjes moeten zetten, als ze dat niet doen krijgt je segmentation errors bij zo'n compatibiliteitsverandering.

Wie zat daarover te klagen maar zonder inzicht in de afhankelijkheden en zonder kennis van plugin code kwaliteit.
Dat was jij toch. Met je geklaag over banale gevolgen en oorzaken gaf je feitelijk aan ICT niet te begrjjpen, ongeschikt voor het vak te zijn dan wel een rootcause van faals en escalaties..

Ten eerste krijg je geen segfaults in jouw voorbeeld. Ten tweede - zoals gezegd - gebruikt de professionele programmeur veel haakjes. En de gelouterde professionele programmeur gooit overal haakjes omheen ;-)


Het ging daarbij om iets heel anders. Maar dat begrijp je blijkbaar niet.


Niets banaals aan als je afhankelijk bent van bepaalde functionaliteit en die door gebrekkige backwards compatibility weer eens omvalt.

Ik ken jou verder niet karma4 maar jouw vreemde rant uit het niets en op de man richting mij doet vermoeden dat er enige psychische problematiek in het spel is. Met dat soort mensen is het vaak moeilijk communiceren. Want er wordt van alles bijgehaald op basis van allerlei hersenspinsels, uit een wereld die zich alleen bij hen tussen de oren afspeelt. Herken je jezelf al een beetje?

Zo, Ad Hominem is niet nodig hier. Ik vond dat de @13:08 eigenlijk al genoeg gezegd heeft.


Ook daar heb ik zelf niets zinnigs aan toe te voegen...


Eens met karma4.

Om welke module gaat het eigenlijk dat je zo afhankelijk bent? Er zijn maar 2 modules met problemen volgens Remi's blog:

1.

http - hier kun je een omleiding voor schrijven, eventueel even een Python scriptje die je via de shellfunctie aanroept met output redirection

2.

CommonMark extension

Geen idee waar je dat voor zou moeten gebruiken maar het werkt nog prima op PHP 7.0.0 uit 2015.
Je probleem is dat 7.1.29 een security release is.

Als dat alles is? Dan ligt het gewoon aan je eigen skills om een extensie te schrijven, wat wel zo handig is want dan kun je je eigen zaakje tenminste blijvend fixen. Met PHP is niets mis. Maar als jij je afhankelijk wil maken van antieke modules van derden die wel of niet meer updaten is dit jouw probleem. En dit is ook onprofessioneel als je serieuze apps ontwikkeld gebruik makend en zelfs afhankelijk zijn van mods van hobbyisten. Het gevaar van FOSS. Maar dit ligt allemaal niet aan externe factoren...

Ik lees deze discussie en werk liever voor karma4 (met kost voor baat) dan Krakatau als ik een programmeur was.

Over welke extensies gaat het dan, Kraketau, waar je zo'n problemen mee hebt dat je het zelf niet kunt oplossen?

Ben je afhankelijk van opensource of github ontwikkelaars net zoals al die Google Champions die voor de ezel zijn staart werken terwijl de Israelische eigenaren van het moederbedrijf miljarden mensen wenst te controleren? Ze hebben geld zat om echt naar hun software te laten kijken maar nee het moet niets kosten want zo zijn de regels.

Een echte ICT'er schrijft zijn eigen code. Als je groot genoeg wordt in het publieke domein dan komen ze pas met aanbiedingen.


Groetjes,

een echte ICT'er

Een lelijke opmerking. De laatste die zoiets zei tegen me was gehersenspoeld, "ik ben links" maar zijn baasje zei dat steeds echter die was meer van "links lullen en rechts vullen". Op een dag wordt je wakker en dan ga je eigen code herschrijven en ook kritisch kijken naar die plugins van anderen. Want waarom zou je in godsnaam plugins van anderen willen gebruiken, alleen al uit security oogpunt?

Groetjes,

een echte ICT'er ;-)

Hier wil ik nog even op ingaan. Dit klopt 100%. Ik roep het al jaren. Onderhoudskosten, daar van zeggen wij in Nederland: goedkoop is duurkoop. Het is alleen nog wachten op het understatement.

Als jullie bedrijfje op zoek is naar een nieuwe manager... ik ben een makelaar van sociaalconformistische oplossingen, een soort bemiddelaar in problemen voor als je servers echt dreigen te crashen. Maar dan is het niet meer discussieren maar gewoon luisteren en dan komt alles goed. Daarvoor met het ego wel opzij gezet worden. Ik verdoe mijn tijd hier he?

Ik lees het faillisement wel in de krant, als ze plaats hebben tenminste want het gaat nu over onze unie van 27 lidstaten.

Over het moreel faillisement heb ik nog niets gelezen, vreemd is dat wel.

Wel even volledig quoten, echte ICT'er... (Jouw quote heb ik hierboven aangepast om de historie van 'lelijke' opmerkingen over en weer wat vollediger weer te geven; bold daarin door mij toegevoegd). Voor meer context lees eens wat draadjes hier waarbij karma4 is betrokken.

En het gaat natuurlijk om oude code met afhankelijkheden, waarvoor geen budget beschikbaar is om het naar een echte programmeertaal te porten. N.B.: zelf schrijf ik geen PHP maar in dit specifieke geval moet ik e.e.a. uitzoeken en in kaart brengen. Ik heb er nu al genoeg van en wou dat ik deze opdracht niet had aangenomen (ondanks dat de PHP code er gelukkig maar een klein deel van is).

We moeten zo snel mogelijk terug naar Cobol en Fortran. Het liefst op ponskaarten. Dan zullen de jonkies van tegenwoordig sowieso een tijdje uitgeluld zijn!

(De draaischijf telefoon mag ook terug! Dan weten ze niet eens hoe ze je moeten bellen! Dat scheelt nog meer stoorzenders.)

Mambo was eigenlijk de tijd iets te ver vooruit. Genereerde middels PHP static content.
En tegenwoordig als je echt SEO top-notch doet heb je alles minified EN pre-compressed.
Daarnaast heb je dynamische HTML meer nodig om browser-compatible te schrijven.

Alle functinionaliteit die Flash 5 had is vandaag middels Jquery animatie van SVG's.
Kortom, zoals Flash geheel verdwenen is, is ook PHP z'n eigen graf aan het graven.

Het is toch opensource, ga ze helpen ipv zeuren. Je lijkt wel een een klein kind dat zijn zin niet krijgt. Sorry maar kan het niet ander verwoorden.

Het is nog PHP7.4 in beta fase en je begint als te klagen over plugin issues. Hoe kan een plugin nu al ready en stabiel zijn, als php nog niet eens uit is?
En zelfs als PHP7.4 al uit is, moet een plugin dan meteen vanaf dag 1 al werken?
Je zit zelf in de software toch? Dat weet je hoeveel afhankelijkheden in dit soort trajecten zit.

Je zeurt momenteel en hebt onrealistische verwachtingen.

Wie is er nog in staat om met kennis van tooltjes Als libx string key tool, comand line brainfuck e. d. de strijd aan te gaan ?
J.O.

Of men kan hiermee aan de slag: https://www.tools4noobs.com/online_php_functions/urldecode/
#sockpuppet

Blij dat je het vraagt. Ik zal spoedig wel wat referenties plaatsen.

Heb je jezelf al gedoxxt?

Php ook misbruikt door malcreanten met een droppertje via gate.php naar een hopto server.
J.O.

Ik snap die negativiteit over PHP niet. Prima taaltje om HTML te genereren. Stabiele releases gebruiken en data die je verwerkt niet vertrouwen (validatie!).

Prima voor eenvoudige thuistoepassingen. Zoals het ook is begonnen en is bedoeld. Nomen est omen: Personal Home Page. Van het latere PHP: Hypertext Preprocessor gaat de professional recursief over z'n nek!

Tijd voor belangrijken en wijzen om er "vwat aan te doen. Doe eens wat aan cybercrime en de criminele dns hostertjes. Grijp eens door!
luntrus

Het hele web is nooit voor professionele omgevingen verzonnen. Html als eenvoudig iets om kennis tussen onderzoekers te delen. Wat kan er nu mis mee gaan.
Met je gezeur geef je meer aan wat je eigen leefwereld is.
Dat is: niet professioneel.

Het world wide web is (dus) wel degelijk in een professionele academische omgeving ontstaan.

https://hart.amsterdam/nl/page/33455/1989-het-ontstaan-van-het-world-wide-web

Dat kan je niet zeggen van Personal Home Page.


Zoals de waard is kent hij z'n gasten. Terechte kritiek afdoen als 'gezeur' en natuurlijk liefst nog censureren ook. Daar zou je als evangelist van prorietaire closed source softwareproducten natuurlijk bij gebaat zijn. Maar die vlieger gaat niet op. Slechte kwaliteit wordt hier genadeloos aan de kaak gesteld. Met name door echte professionals.

Ik heb wel eens iemand genepdoxx't. Voor de lol maar die persoon bleek veel te slim om daarop in te gaan. Wat ik had kunnen weten. Telt dat ook?

Zeker wel. Het scheelt als je het bewust meegemaakt hebt.
https://en.m.wikipedia.org/wiki/Rasmus_Lerdorf
Hoogst gewaardeerd bij het mit. Sla ik wat hoger aan dan iemand die zelf zegt er niets van te weten het allemaal fout vindt. Daarmee is wat je zelf terecht vindt gewoon gezeur.
Spijt van de opdracht die je zelf hebt aangenomen zegt verder genoeg. Een echte professional biedt gewoon gratis en voor niets een goed alternatief.

Het gaat niet om de persoon, het gaat om waarvoor en waarom een product is gemaakt.


Wat haal je je toch allemaal in je kleine hoofdje karma4? Duidelijk geen idee hoe het er in de echte wereld aan toe gaat. Zo, en nu oogjes dicht en snaveltje toe.

N.B. excuseer de interruptie Krakatau (kon me even niet inhouden)

Wat zijn malcreanten? Wat doet gate.php? Waar wilt u heen?

Malcreanten zijn lieden, die malware ontwerpen/misbruiken (dus lieden die slechtigheid creëren).
Gate.php werd recent door een Mirai bot misbruikt en de data die buitgemaakt werd,
ging naar een server onder beheer van de malcreanten a.k.a cybercriminelen.
De server was van hopto, een bullet-proof hoster, die gratis sub-domeinen host,
die misbruikt worden door dit soort 'minkukels'.

PHP vanwege inherente zwakheden vaak is in zo'n geval Gefundeness Fressen voor cybercriminele.
Droppertje = dropfile om de digitale ellende bij het slachtoffer (website met gecompromiteerd gate.php) te kunnen droppen. Comprenez-vous?

Eenvoudiger kan ik het niet uitleggen, maar IT-ers die hier komen begrijpen de terminologie doorgaans beslist,
anders hebben ze bij de security lessen op de Hoge School zitten slapen of het verkeerde txt-book gehad.

groetjes en Fijn Hemelvaartsweekend,

J.O.

@'Kapitein' Haddock

Tja... Normaliter ben ik niet zo blij als er voor mij gesproken wordt. Maar ik kan me de irritatie wel voorstellen en heb er eigenlijk weinig anders aan toe te voegen.

Als toetje voorbeeld van gate.php malcode:
https://github.com/rabitosk8/malware-1/blob/master/Pony-master/panel/gate.php
Dit is Pony. info credits: RamadhanAmizudin/malware

Tevens gate.php bij mail-spam te misbruiken, zie analyse:
https://www.malware-traffic-analysis.net/2017/07/20/index.html

luntrus

Interessant om te lezen dat er op dit forum verschillende agandas actief zijn. Allemaal 'mal' creanten.

007

Over php.dropper: https://kb.sucuri.net/malware/signatures/php.dropper
kijk dan vooral naar verdachte eval entries...
gate.php -> https://kb.sucuri.net/malware/signatures/php.backdoor.vpsp.001
mooie analyse uit 2016 weliswaar, maar op varianten na gelijke infectie routine:
https://unit42.paloaltonetworks.com/unit42-vb-dropper-and-shellcode-for-hancitor-reveal-new-techniques-behind-uptick/
info credits voor de analyse gaan naar Jeff White.

Infectie mogelijk op verouderde WordPress, Joomla, osCommerce, Magento, Drupal CMS websites met gestolen wachtwoorden (user enumeratie aan laten staan, maakt het wel erg eenvoudig, shodannetje erbij, pats)..

luntrus

Doelgroep wetenschappers voor het maken van een eigen page. Dezelfde doelgroep van Tim Berners Lee. , geen verschil.

Met jouw redenatie is het web bedoeld voor porno criminaliteit en heb je Tim Berners Lee als crimineel weggezet.

Niet om de man spelen? Het is het enige waartoe je in staat bent als je ongelijk hebt en niet wil toegeven dat je fout zit.
Tja, het is de cultuur in oss. Zeker geen goede ethische cultuur er moet nog het nodige echt veranderen.

Je noemt mij en je mag zoeken wat je wilt maar je zal geen enkel voorbeeld vinden waarin ik op de man speel om bedenkers van PHP, WWW, Windows, etc persoonlijk negatief weg te zetten. Geen woord over bv. Bill Gates. En ik zal niet weer voor Krakatau gaan antwoorden maar ik vind geen voorbeelden.

Laten we de discussie fundamenteel voeren, waar het steeds weer fout gaat.

Veel PHP ontwikkelaars zijn amateurs, die PHP en HTML maar al te graag mixen.
Ze plannen niets en willen zo snel mogelijk aan het coderen slaan.

Een goede IT manager houdt dit soort lieden buiten de deur door te eisen dependency injectie te gebruiken.

Vroeger werd een class object direct in de functie constructor gecreëerd,
Die info had niets te zoeken binnen de scope van die functie.

Wijzigingen en nieuwe parameters moesten voor elk in te voeren object opnieuw worden veranderd,
Dat was een hels karwei voor grote applicaties. En er was noodzaak voor class testing na afloop.

Constructor injectie maakte daar een eind aan.

De dependency injectie applicatie, die een XML-file leest
en alle benodigde objecten creëert om de applicatie te kunnen starten.

Objects serialiseren en de file wegschrijven en klaar is kees - in dit geval de start-up.

Bron-info credits Matthieu Napoli.

Dan is er nog het belangrijke gegeven, dat PHP server-side is,
Gaat er wat fout met de server, duikt je script op daar waar het niet bedoeld is,
met gevaren van remote file inclusion, session highjacking, cross site requests etc.,

Register globals zijn we kwijt, dat was een groot risco en moest op off staan,
slecht idee net als magic quotes en error reporting aan hebben staan,
vertrouw niets geen enkele (user) input, gebruik whitelisting, geen blacklising,

Plan dus je PHP-security vanaf het begin, simpel is beter, verdedig de diepte in,
hoe complexer des te onveiliger, beperk het aanvalsoppervlak tot een minimum,
hanteer het principe "least privilege", compartimentaliseer je code
en verberg geen geheimen in de code of ze zijn dat niet voor al te lang.

info bron: Michael Havard

luntrus

@luntrus Gebruik beter helemaal geen PHP...

@ Krakatau,

Ik gebruik het niet, maar moet wel die "gatenkaas" als mogelijke ellende kennen,
vanwege mijn 3rd party cold reconnaissance website analyses van op PHP gebaseerde CMSsen.
Om moedeloos van te worden soms :-(

Meer dan 60% van de Word Press websites staat op omvallen
of is op termijn te compromitteren, via plug-ins of wegens configuratiefouten.

Men codeert niet met "security as a first priority".

Zie alle afvoerbare JQuery bibliotheken
en ook voortgezette Javascript error narigheid.

Verder alle slechte server configs, zeker geen "best policies".

Maar we blijven roependen in de woestijn, beste Krakatau,
De zienden zijn blind en de horenden blijven doof.

Laat ieder leren compileren op de juiste manier a.u.b.

groetjes,

luntrus

Ook jQuery is te misbruiken, omdat het ontworpen is om script te injecteren. Bijvoorbeeld: ractive-route.min.js. op Boa. 094.14c2/
#sockpuppet

Zoekt en gij zult vinden. Vimeo in een caddy omgeving over te nemen via PROXY info.php 1.2.3.4:8080
Je moet de header splitten via split.php om dit tegen te gaan. Maar hoe? Videoproxybid kwetsbaar.
#sockphppet