Pasar de un marco a un no marco [cerrado]

He estado desarrollando en PHP durante unos 8 años como hobby. En 2009, tomé codeigniter y desde entonces no he logrado desarrollar un solo proyecto.

Encuentro que me ralentiza tratando de averiguar cómo modificarlo para que funcione de la manera que quiero, cuando si estuviera trabajando en PHP puro, lo sabría o podría encontrar rápidamente un fragmento de código.

Probé CodeIgniter, Kohana y Symfony. Me encanta la facilidad de uso (y también comencé a usar doctrine como un ORM que aceleró enormemente el trabajo de mi base de datos), pero encuentro que los proyectos me están tomando de 3 a 4 veces más tiempo que en PHP puro. Me aburro y me frustro cuando no puedo encontrar una solución a un problema que resolví previamente en PHP puro.

¿Alguien ha pasado de usar marcos a un enfoque sin marco? ¿Existe algo parecido a un marco de seguridad básico (evitar XSS, filtrar los datos publicados, proporcionar una función de limpieza para usar con bases de datos)? Creo que algo así me beneficiaría mucho más que un marco a gran escala. Creo que aprender a trabajar con frameworks me ha enseñado mucho, pero estaría más feliz trabajando con mi propio código.

Las versiones actuales de PHP5 incluyen gran parte del marco de seguridad que está buscando como parte de la biblioteca estándar.

• Use filter_input_array para desinfectar declarativamente las cosas que ingresan desde el exterior.
• Acceda a su base de datos a través de PDO con SQL parametrizado para evitar ataques de inyección de SQL.
• Utilice la siguiente configuración de PHP para hacer que su sitio sea más resistente a la fijación de sesiones y al robo de cookies:
  • session.use_only_cookies (evita que su token de sesión se filtre en la URL)
  • session.cookie_httponly o el httponlyatributo de session_set_cookie_params () (protege contra scripts que lean la cookie de sesión en navegadores compatibles)
  • Más sugerencias y código de ejemplo PHP disponibles en Wikipedia .
  • También puede utilizar el httponlyatributo con setcookie () .
• No se requiere nada más elegante que las plantillas básicas y la configuración de encabezados para las nuevas funciones de HTTP y HTML5:
  • Seguridad de transporte estricta HTTP (ayuda a proteger contra vulnerabilidades de WiFi).
  • X-Frame-Options (Restrinja la inserción de sus páginas. Bueno contra el phishing)
  • Atributo de Sandbox de IFrame HTML5 (Anuncios / insignias / videos de Sandbox de terceros. Ya en WebKit. Es probable que se implemente al menos parcialmente en Firefox 11.)
  • Política de seguridad de contenido (el nuevo marco de seguridad de Firefox 4, complementario al atributo sandbox. Ahora también se implementa en Chrome ).

Si acepta HTML como entrada, le recomiendo tomar HTML Purifier y llamarlo a través de una línea FILTER_CALLBACK en su configuración filter_input_array. Su enfoque de seguridad de entrada basado en listas blancas constituye una excelente (y muy poderosa) primera línea de defensa contra XSS.

Por lo que puedo decir, PHP no viene con un mecanismo para protegerse contra la falsificación de solicitudes entre sitios , pero estoy seguro de que Google puede ayudarlo con eso. Las hojas de trucos de seguridad de OWASP incluyen una sección si desea implementar su propia protección.

Por curiosidad, decidí comenzar también a buscar componentes independientes y esto es lo que he encontrado hasta ahora:

Plantillas:

• Herencia de plantilla PHP (PHP regular más herencia de plantilla)
• TWIG ( sintaxis de estilo Django / Jinja2 / Liquid que incluye autoescape y sandboxing. Se compila en PHP en caché para mayor velocidad).
• Dwoo (Un sucesor más rápido y con más funciones de PHP5 de Smarty . Incluye un sistema de compatibilidad para las plantillas Smarty existentes).

Cosas que todavía no he analizado correctamente:

• Despacho de ruta (solo se encontraron RouteMap y Net_URL_Mapper hasta ahora. Gracias, cweiske).
• ORM (en caso de que el PDO no sea lo tuyo)

No creo en los frameworks ... he trabajado en muchos de ellos.

Razones para odiar los frameworks MVC:

1) Código hinchado, compro clases premium que me ayudan en el desarrollo. Como clases de formulario o clases SQL.

2) Creo que los frameworks MVC no son fáciles de transportar, especialmente cuando se usan administradores de dependencia.

3) Creo que en realidad escribes más código con un marco MVC que si tuvieras que usar una plantilla con un montón de clases útiles que manejan la autenticación, etc.

4) La mayoría de los marcos también atienden solo una o dos bases de datos de forma nativa.

Sugeriría encontrar un marco de formulario con autenticación y editor de texto y un marco SQL como madoo + una clase de correo electrónico ...

El 90% de su aplicación son siempre formularios, CLASES sql y ajax; el resto se puede adquirir cuando sea necesario

Soy minimalista y lucho con la idea de tener código en mi aplicación que no está haciendo nada ... por si acaso lo necesito, no me funciona.

Con tanta experiencia a sus espaldas, debe tener su propio conjunto de bibliotecas favoritas, seleccionarlas a mano y crear su propio marco simple. Marco o ningún marco (y cuál en ese) depende del tipo de proyecto en cuestión, ningún guante sirve para todos. Por lo tanto, le sugiero encarecidamente que si siente que los marcos existentes lo están ralentizando, dedique algo de tiempo y cree un marco que funcione según sus necesidades.

Basado en su declaración de que ha estado usando PHP como pasatiempo, así como en su declaración de perfil "Llegando lentamente", esto parece un problema de curva de aprendizaje. No parece tener la profundidad y amplitud de experiencia para a) entender cómo trabajar dentro de la estructura que impone el marco yb) por lo tanto, no puede beneficiarse de las eficiencias que el marco permite.

Le insto a que lo siga. Vuelve al principio con los videos tutoriales. Busque y lea el código de otras personas hasta que lo comprenda. Cree sus proyectos de abajo hacia arriba: comience de manera simple y agregue funcionalidad. Siga los foros, tratando de responder las preguntas usted mismo antes de leer las respuestas.

He estado programando profesionalmente durante casi 20 años, en una variedad de plataformas, y todavía me tomó un tiempo sentirme cómodo con CI. Pero ahora que lo soy, no volvería a PHP puro (para mis propios proyectos) a menos que tuviera un sitio de escala suficiente que expusiera problemas de rendimiento cuantificables (piense en Twitter).

Zend Framework es realmente excelente para eso. Puede usar tanto o tan poco como desee. Todo está codificado en php y de código abierto, por lo que puede piratearlo y hacerlo suyo. Los diferentes componentes no dependen unos de otros tanto como en otros marcos.

Puede construir usted mismo un marco simple usando algunos componentes de Zend sin ningún problema.

¡Compruébalo !

Sé exactamente cómo te sientes. Empecé hace 4 ~ 5 años en PHP (vengo de Delphi, lol), y comencé en php puro. Lo que tenía de vuelta era un "Panel CMS como" que acababa de leer todos los campos de las tablas y crear el formulario. Después de un tiempo llegué de alguna manera al conocimiento de PHP Frameworks, probé CakePHP por primera vez y no me gustó, luego me metí en Yii que, en mi opinión, es bastante intuitivo y fácil de usar (con su generador Gii es bastante bueno). Probé Symfony, ZF2, Laravel, Yii2-Beta y algunos frameworks para RAD, pero todavía no me sentía lo suficientemente rápido como antes de los frameworks.

Sucedió que desarrollé mi propio marco (fue naturalmente, no exactamente que un día me desperté y dije "voy a crear un nuevo marco", pasó con el tiempo). Sé que es una mala mala práctica y un movimiento de "reinvención de la rueda", PERO, ahora desarrollo mis proyectos mucho más rápido (más que PHP solamente).

Dado que su código es un MESS total, comencé hace aproximadamente un mes a reformular mi marco, ahora usa composer, sigue las reglas comunes que existen entre los marcos php, es MVC.

¿Por qué estoy reformulando? Porque si alguien necesita reparar un proyecto mío, no será cosa de otro mundo.

Entonces te entiendo.

Mi consejo es que prepares tus herramientas (llámalo framework, una aplicación preestablecida o como sea que la gente lo nombre), y úsalo de la manera que te sientas mejor, pero sigue algunas reglas comunes (como MVC, cosas "fáciles de modular" que Puede reemplazar en caso de rotura.

Para una seguridad básica, utilizo un método de filtro personalizado que envuelve mis superglobales . Es necesario acostumbrarse a su sintaxis, pero es más simple que la API de PHP filter_var () y no te permite desinfectar:

 $_GET->text("inputvar") or $_POST->name["field"]

También permitió el escape $ _REQUEST-> sql () en línea. Pero para el trabajo de la base de datos, siga usando SQL parametrizado o su DAL / ORM de su elección.

Hice un estudio de un día de ToroPHP y lo encontré bastante bueno. Es un marco minimalista dirigido a aplicaciones RESTful. Esto hace posible mantener el código del lado del servidor modular, sin tener que lidiar con la hinchazón de ningún marco.

No sé qué te está preocupando, pero codeigniter es un gran framework. Tiene buena documentación y como mucha gente usa codeigniter, encontrarás toda la ayuda en su documentación, foro o en stackoverflow. He trabajado en muchos frameworks ( Codeigniter, CakePHP, Zend, Spring 3.0, Ruby on Rails), pero debo decir que codeigniter tiene la mejor documentación.Hay muchas cosas en codeigiter que se manejan automáticamente y no tienes que preocuparte por la seguridad. Trabajar en el núcleo de PHP es como reinventar la rueda. Bueno, lo más importante es que pasar de un núcleo a un marco requerirá mucho esfuerzo una vez que esté acostumbrado, comenzará a amarlo.Además, Ruby on rails también es un gran marco una vez que conozca sus entresijos, puede tener doble velocidad.