wszyscy sie mylicie
crud.org

Sprawa już dawno wyjaśniona, spojrzenia na problem zintegrowane - nie ma co się burzyć, lepiej kolację zjeść niż nic nowego do dyskusji nie wnosić.

[2] = [2,3]
księgami = tablicami (czy jakoś)

;)

Być może nie jest do definicja książkowa, ale CRUD przyjęło się określać w skrócie wrappery silników baz danych.

Bzdura. CRUD to jak wiemy akronim od create, read, update, delete. I nie jest to wrapper bazy danych. CRUD to nazwa zestawu operacji na rekordach i wiekszosc tekstow z wpisu to powazne farmazony jak wspomnieli poprzednicy. Najprostszym przykladem idei pod nazwa CRUD sa obiekty oparte o wzorzec ActiveRecord badz genericObject gdzie kazdy obiekt reprezentuje pojedynczy wiersz w tabeli bazy danych. I takowy obiekt ma wbudowane metody do dodawania, usuwania, update i innych bajerow. To jest CRUD !! Wzorce AC oraz GO sa znane od dosc dawna - miejscami sie kryja pod inna nazwa, ale tak czy tak to jest wlasnie CRUD.

Jest nawet lepiej — w PHP 5.1 wbudowana jest nowa warstwa dostępu do baz danych, PHP Data Objects, która nie tylko wrapuje poszczególne silniki do wspólnego interfejsu, ale dodatkowo wymusza na sterownikach emulację funkcji, których nie wspierają same silniki baz danych. Dzięki temu można sobie na przykład korzystać do woli z preparowanych zapytań.

Super sprawa - świetnie, że włączyli to standardowo do języka, to najszybszy sposób na popularyzację. Byłoby naprawdę bardzo fajnie, gdyby z czasem najbardziej znane aplikacje pehapowe zaczęły być migrowane do tego rozwiązania. Przywiązanie pehapowców do MySQL nadal wydaje się ogromne.

To samo powoli zaczyna dotyczyć .NET i ASP.NET — wyszukaj sobie dziesięć serwisów opartych na tej platformie i spróbuj pobawić się URLami albo formularzami — co najmniej połowa jest podatna na SQL injection, bo nikt nigdy nie nauczył tych ludzi, po co się cytuje i escapuje zapytania bezpośrednie i dlaczego lepiej zastąpić je preparowanymi.

Długo też tak myślałem, ale w ostatnim czasie Microsoft naprawdę się zmienia. Z ich ostatnich produktów naprawdę spodobało mi się Visual Studio Team System [1], które jest zintegrowaną platformą do testowania aplikacji, obsługi błędów, kontroli wersji i zarządzania projektem, mającą gonić funkcjonalnością IBM-owskiego Rationala. ASP.NET 2.0 i sam .NET 2.0, a przede wszystkim IIS 6 i Visual Studio 2005 kosmicznie upraszczają autoryzację i autentyfikację, po prostu zarządzanie bezpieczeństwem - samo tworzenie aplikacji webowych też staje się arcyproste, bo sporą część wykonuje się wizualnie. A sam Microsoft, obiecując kilka lat temu zadbanie o bezpieczeństwo, coś stara się jednak w tym kierunku rzeczywiście robić, nie zostawia też developerów samych sobie z codziennymi problemami i publikuje wiele “best practices” [2]. To chyba nie problem technologii, a generalnie świadomości istnienia pewnych problemów - akurat ASP.NET jest niezwykle popularną technologią do rozwiązań intranetowych, gdzie kwestie bezpieczeństwa są traktowane mniej poważnie niż w przypadku otwartych systemów. Z drugiej strony Microsoft na swoich konferencjach często mówi o bezpieczeństwie, wykłady o zapobieganiu SQL Injection też się pojawiały, a to naprawdę budujące, że Oni widzą taki problem. W każdym razie - warto o tym wszystkim rozmawiać, warto mówić, bo podręczniki uczące pisania bezpiecznych aplikacji czy poświęcone projektowaniu nadal są pewną egzotyką w porównaniu z podstawowymi podręcznikami do języków programowania. A nauka na poznaniu języka przecież się nie kończy. Ewangalizatorów nam trzeba. Dlatego fajnie, że piszesz :).

btw, zdjęcie z dwoma księgami mojżeszowymi, które kiedyś wrzuciłeś, było arcyzajebiste :)

[1] http://msdn.microsoft.com/vstudio/teamsystem/
[2] http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/SecNetch12.asp
[3] http://msdn.microsoft.com/practices/

Co do egzaminu - ja miałem na to jakieś trzy godziny i trochę więcej wymagań niż obsługiwanie dodawania, edycji i usuwania rekordów. Trochę czasu zajęło mi też upodobnienie KDE do GNOME, żebym mógł w ogóle patrzeć na monitor ;)

m:

Mignęło mi też jakos rok temu kilka informacji popularyzujących O/R mappery w php i to świetny news, bo może wreszcie pehapowcy dostrzegą potrzebe wspierania innych silników niż MySQL, który pomalutku jest podkupowany przez Oracle.

Jest nawet lepiej — w PHP 5.1 wbudowana jest nowa warstwa dostępu do baz danych, PHP Data Objects, która nie tylko wrapuje poszczególne silniki do wspólnego interfejsu, ale dodatkowo wymusza na sterownikach emulację funkcji, których nie wspierają same silniki baz danych. Dzięki temu można sobie na przykład korzystać do woli z preparowanych zapytań.

Problemy tutaj to nie tylko sam język i jego funkcjonalność. Spora część programistów PHP to tak zwani script kiddies, którzy znają trzy konstrukcje językowe na krzyż i jedyną słuszną metodę dostępu do danych. Spora część programistów nie zna nawet podstaw projektowania systemów bazodanowych — spróbuj spytać się kogoś, w której postaci normalnej jest jego baza danych? Problemem jest też sama popularność języka — PHP zaczynał jako bardzo prosty język nastawiony na pisanie prostych scriptletów inline w kodzie HTML. Z czasem stał się potężną platformą do programowania obiektowego, ale po sieci i po księgarniach ciągle krąży bardzo marna literatura. Większość książek jest albo zdezaktualizowana, albo pisana przez ludzi, którzy wychowali się na PHP 3 i utknęli na tym etapie. Zmienne globalne, programowanie proceduralne, tona includów i obejścia na problemy, które od lat nie istnieją.

To samo powoli zaczyna dotyczyć .NET i ASP.NET — wyszukaj sobie dziesięć serwisów opartych na tej platformie i spróbuj pobawić się URLami albo formularzami — co najmniej połowa jest podatna na SQL injection, bo nikt nigdy nie nauczył tych ludzi, po co się cytuje i escapuje zapytania bezpośrednie i dlaczego lepiej zastąpić je preparowanymi.

Ale i pomysł z napisaniem większego kawałka kodu, który coś robi, choć wymaga większej ilości czasu (ile zajęło to w ICP?) bardzo mi się podoba, bo lepiej sprawdza wszystkie aspekty tworzenia kodu.

[1] http://www.joelonsoftware.com/articles/fog0000000073.html
[2] http://www.merlin.com.pl/frontend/towar/409105