Обновить
Комментарии 18
Так же надо иметь диру с правами создания файлов и других директорий… Чем плох стандартный вариант установок (у каждого свой конечно, но все же)? В принципе — во всех инсталляшках суть сводится к настройкам коннекта к БД + некоторые уникальные для движка… ну и заливание дампа в БД. ВСЕ!

Как всегда, ничего не имею простив Вашего детища — но для меня оно бессмысленно… разве что модемщикам будет удобна заливка двигла на хост… но +33% =(
в принципе 33% окупается… распакованный архив 5мб, запакованный 1мб, через скрипт — 1.3…
то есть заливается не 5мб а 1.3мб…

Заливка дампа планируется… как и возможность опроса пользователя по поводу параметров БД исайта => запись конфиг файла на основании заданного шаблона при установке…

У вас какие-то варнинги в скрипте, вы бы исправили ;)
а еще что непонравилось — не предложили выбрать место, куда произойдет распаковка

ну и про проблему нехватки прав для создания файлов/директорий уже было сказано…
Для распаковки используется файл __pi.txt
соответственно, если его создать невозможно, скрипт умрет.
$fp = @fopen('__pi.txt', 'wb');

if(!$fp)

{

exit('Sorry. Set chmod 777 on this directory');

}


Открыл, увидел, закрыл.
foreach($_GET as $key=>$value) $$key=$value;
foreach($_POST as $key=>$value) $$key=$value;
про extract я в курсе… но почему-то в голове отрицательное воспоминание о нем… возможно где-то не так себя повело как я ожидал, по этому использую эту конструкцию… не красиво, но…
Эмуляция REGISTER_GLOBALS вручную?? OMG :)
угу…. писать $_GET и $_POST дольше… пусть и безопаснее немного. но не в этом скрипте=)
А… дольше писать… клевая аргументация :)
не вопрос, Вы можете дальше пытаться зацепить меня…
OMG уважаемый. Смысл не в том чтобы зацепить вас как человека, а чтобы зацепить вас, как разработчика. Заставить задуматься над абсолютно бредовой аргументацией «долго писать».
Это говорит разработчик! И это грустно!

По таким же соображениями половина паролей в интернетах — 1234567 или sex.

А вы жертвуете не своей секьюрностью, а секьюрностью тех, кто будет использовать ваше творение. Вдобавок к этому, на открытое указание ошибок слышен ответ сводящийся к «и так сойдет». Это зовется быдлокодерство.
Нахрен, простите, кому нужны такие скрипты?
Тогда объясните мне, как «разработчик» как данная конструкция _вредит_ (подрывает секурность) конкретно в этом скрипте… В других проектах — другой разговор, там понятно чем это чревато.

Объясните зачем уделять столько внимания конкретно в этой работе… может я что-то не понимаю...? =\
Замечу, что не бывает там я крут, а тут не важно. Нормальный программист пишет нормальный код везде. Я с большой долей вероятности скажу что и в «Больших» проектах никто не гарантирует что вы вдруг решите что тот или иной кусок не важен. Полностью соглашусь с предыдущим оратором.
Предпложим, что Ваш скрипт стал популярным. Кто-нибудь из пользователей Вашего чудного скрипта зальет такой архив, распакует, да забудет удалить. Атакующему не составит труда узнать наличие такого скрипта-распаковщика на хосте, плюс полностью имеются его открытые исходники (Вы только что сами их выложили), плюс он может инициировать любую переменную в скипте-установщике, плюс скрипт-установщик что-то там как-то пишет в файлы.
Это не просто дырка на сайте — это дырища-мечта хакера.
Кстати да. Не считаю себя начинающим программистом. Занимаюсь техподдержкой и разработкой. Но также не вижу здесь необходимости в секьюрности. Если откроете глаза, скажу спасибо.
идея сама по себе похвальна, но что-то мне ссыкотно, чтоб все скрипты были www-data

p.s. ну да, можно использовать chown, если дадут
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.