Os nossos posts estão cada vez mais parecidos com testamentos!.. Pelo menos que tiver as duvidas do Radeon, deve ficar bastante esclarecido.
Marsupillami disse:
Claro que têm, está configurado no servidor (php.ini). Mas basta fechares o browser que a sessão te é automaticamente destruída e é-te atribuído um novo ID se voltares a entrar. Este último caso é o que geralmente se verifica. Se o utilizador ficar em "idle" o tempo especificado no php.ini, a sessão é da mesma forma apagada. Mas tb n estou a ver que relação tem isto para a conversa... ou será só troca de conhecimentos?
Nem por isso. Posso-te dizer que já fiz dois CMS's, um deles 100% desenvolvido por mim (outro tinha o Look e Feel duma versão anterior do mambo), e nos dois custumizava esse tempo de vida de uma sessão. Apesar de haver um default, tu podes fazer um override do valor, se assim o desejares. Era isso que eu fazia nos dois, e nos dois usava sempre cookies, ou melhor, 1 cookie que sabia qual esse id de sessão (apenas para identificar o utilizador) apesar de até ter que se logar novamente apesar da sessão ainda lá estar.
Marsupillami disse:
Quanto aos cookies, à excepção do conforto do utilizador e talvez alguns dados estatísticos, eu julgo que se podem (e em muitos casos devem) ser prescindidos. Se fossem inúteis muito provavelmente não existiriam. um bom exemplo são os usados nos forums, sendo esse um caso que necessita mesmo de cookies (seria um bocado chato, por ex: tar a fazer login todas as vezes
)
Esse caso, e muitos outros ... Eles só são maus em termos de segurança, se quem programou a aplicação web lá for guardar o login e password de acesso do utilizador
...
Marsupillami disse:
Têm a opção para desligar não têm?
Claro que têm, como também têm a capacidade de não instalar nada de nada e só mesmo deixar passar o html (e css + bmp's) ... Assim, ninguém tinha flash, quicktime, etc, etc ...
Marsupillami disse:
Eu julgo que os cookies não são perda de segurança, mas sim perda de alguma privacidade. Para o programador, os cookies poderão ser uma forma de, por exemplo, se tentar fazer passar por outra pessoa.
Mas que programador?!?!?! O que fez a aplicação web alvo, ou um terceiro?!?!?! É claro que como programador de uma aplicação alvo, tenho de me proteger de algumas formas, ou não?!!? Isso não invalida a utilidade dos cookies ...
Marsupillami disse:
Não estou muito por dentro do "mal que se pode fazer" com javascript, mas pode, por exemplo criar situações bastante irritantes para o utilizador
Olha que não há assim tanto que se possa fazer apartir do momento em que se sabe como funciona... Se o JavaScript que um site teu usa, é só mesmo aquele que escreves (se não deixares ninguem inserir javascript num formulario, por exemplo), o que poderá ser feito de mau (com o js editado) será apenas para quem o edita... Outra pessoa que aceda ao site não vai aceder a esse código alterado. É tão simples quanto isso. Agora, se um utilizador, num post, poder adicionar JavaScript ... Aí o caso muda de figura drasticamente.
Marsupillami disse:
Então só me estás a dar razão. Eu ainda estava a considerar a prespectiva do mau coder ou da má configuração de servidor para tentar argumentar uma possível alteração de dados que suscitassem problemas ao PHP, quando os dados são trabalhados no servidor. Se vamos considerar o caminho do "tudo bem feito", então nem vale a pena falar nisso. Agora, já se sabe, que, por muito bom coder que se seja, a extensão de um programa irá, iremediavelmente, levar a um ou outro erro que poderão abrir "portas" a formas de "exlploit"
Eu não te dei razão... O que disse é que um utilizador pode sempre alterar um JavaScript, da mesma maneira, que pode alterar um HTML, mas se não o mandar para o servidor, a unica pessoa lesada é mesmo quem o altera, ninguem mais.
Marsupillami disse:
Nunca disse que não se passava assim, como podes comprovar no post anterior...
A verificação deve ser sempre feita do lado do servidor, pois é lá que corre tudo e os dados são guardados. Aí ninguém te tira a razão. Agora, pela experiência que tenho a lidar com clientes que arranjam sempre maneira de fazer m****a na aplicação mais simples, acho que JavaScript para validações é fantástico.
Como te disse, fiz 2 CMS's. No primeiro apenas verificava dados no servidor. Não usava JavaScript para nada. Fora o menu, a aplicação não o usava para nada. Quando fui dar "formação" (clica aqui e faz isto, clica acolá ...
) é que me apercebi que numa segunda versão teria de ser alterada drásticamente a minha política de validações. e dou-te um exemplo:
Eu -> ... e nesta caixa de texto, insere o nome do produto.
Cliente ->
o cliente escreve um nome de um produto virando-se para trás e explicando o que o produto fazia (
... porra, não matei niguem ...)
Eu-> ... e nesta caixa, insere o valor do preço do produto.
Cliente ->
o cliente olha para a caixa e escreve : "cento e vinte euros" ...
DASSSSSSSSSSSSSSSSSSSSSSSSSSSSS ....
Se um génio chegou ao ponto de fazer isto... imagina noutros campos.
É claro que se não dissesse que "era suposto" inserir um numero, ele ía carregar no submit, a página iria carregar para o servidor, ser processada, e vinha de volta com os erros assinalados. Agora dramatizando um pouco, ele de dez campos iria ter 5 mal preenchidos, iria corrigir uns 3 ou 4, submetia a página outra vez, o servidor processava, .... and so on, and so on ...
Com JavaScript, aparece um alert com o erro (PAN!!), se for preciso limpa-te a caixa de texto e dá-te focus à mesma, e o servidor quando receber os dados não irá ter que voltar a enviá-los de novo para o cliente.
Marsupillami disse:
Da mesma forma perco a razão por dizer "compilado/descodificado"? Aliás, que necessidade existia sequer de pegar por isso? Acho que nenhuma, não é?
Acho que houve uma razão sim senhor. Nem o JavaScript nem o Php são compilados/descodificados, ambos se mantêm como texto simples ... A unica diferença é que um corre no servidor, outro no cliente. Se um cliente altera o código do seu lado, ele não o pode mandar para o servidor, aliás, pode tanto mandar para o servidor o JavaScript como o Php. No Php apenas não é visivel ...
Marsupillami disse:
Isto é uma situação criada um bocado "a jeito" para a conversa
Lá isso foi ... Mas na situação anterior que já referi, ele é mais do que viável ...
Marsupillami disse:
Da mesma forma, o Javascript necessita de enviar para o servidor para posteriormente ser inserido através de uma linguagem (PHP por ex) no servidor.
Ninguém disse o contrário. Para te ser sincero até curto bastante o Php, mas "
cada macaco no seu galho" ...
Marsupillami disse:
Não, claro que não. Formas como se chamam loops, como fazes o output, como chamas funções, como dás valores a variáveis....
Hummmmm... Será??!?!? Desafio-te a fazer o seguinte:
Pões aqui dois pequenos scripts, um em Perl e outro em C. Os dois scripts fazem um Loop de 0 a 100, em que se o indice for 50 ele escreve a string "cinquenta". Declara o indice antes do Loop.
No fim, faz a pergunta aos utilizadores do forum, a perguntar qual dos scripts é Php. Vais ver que se acharem que é algum deles, vão dizer que é o feito em Perl.
Marsupillami disse:
Aliás, algumas funções têm exactamente o mesmo nome em C e em PHP.
E com Perl?!?!?!? De qualquer forma, não sei leste os liks que te enviei, mas na hiostória do Php dizia que C influenciou bastante a linguagem, nomeadamente em acesso a dados (apartir daí, não sei), mas o core da linguagem é de facto feito à imagem de Perl, nomeadamente variaveis, loops, etc ...
Marsupillami disse:
Agora javascript e perl, semelhantes, e estabelecer uma semelhança entre javascript e php, isso já não concordo.
Para ser sincero, nem eu ...