DiscuzX如此慢原因之1

Monkey威武 发表于 2012-8-20 14:32
还有，目前不少的虚拟主机，好像都没有配置pgsql数据库

虚拟主机基本不会有pgsql，国外的稍好点。
VPS或者自己的服务器可以自行YUM安装（RHEL/Centos）或者apt-get （debian/unbuntu）

Monkey威武 发表于 2012-8-20 14:31
这个是为了安全性才做的，如果没有的话，安全性会下降的

这是属于削足适屐式的做法。
采用prepare/execute或者数据库提供的quote函数就完全可以杜绝SQL注入。

这与 https://discuz.dismall.com/thread-2967299-1-1.html 中问题一样，属于把简单问题复杂化

mark35 发表于 2012-8-20 14:53
虚拟主机基本不会有pgsql，国外的稍好点。
VPS或者自己的服务器可以自行YUM安装（RHEL/Centos）或者apt- ...

不过也有用Windows平台的服务器啊。。

Monkey威武 发表于 2012-8-20 16:57
不过也有用Windows平台的服务器啊。。

pgsql有win平台的安装包
pg支持的平台是相当广泛的

mark35 发表于 2012-8-20 12:45
重写也不会推翻重来嘛，否则就不是2.5了。
看了X2.5，此函数定义与X2相同。

靠，升级2.0了，还没2.5，不敢升。升级X主要为DIY。

mark35 桑先不忙着推销 pgsql v9.1吧，DZ现在改为pgsql v9.1不具备普世价值。。。

可以继续发布一些技术文章：dzx2 or x2.5 坑爹代码一览。。。

我们好照着修改。。。。

建议疼讯把楼主招安了，然后开发pgsql版 DZ。。。。

非常不错，我要好好学习，分享了

楼主可能误解了do_query_safe 的用途，其作用并非是处理 \,' 这些字符的，而是分析是否有危险的SQL语句。这样的目的是为了防御一些未知的SQL注入漏洞，另攻击者即便知道有漏洞，但是无法进行数据破坏。

@Cnteacher
我当然明白这个函数是干嘛的。 所以我一直在说mysql是垃圾，而DZ被mysql所绑架，dz的程序开发员被mysql所局限： 本来在应用层用 prepare/execute，在数据库层用 $db->quote() （mysql的mysql_real_escape_string不确认是否有漏洞）就可以彻底解决的。现在弄出这么大一坨代码写的人痛苦，跑的服务器辛苦，运行的站长烦恼，看帖的人郁闷。

在mysql中可以直接执行查询十六进制值 SELECT 0XFFAB........... 来输出 <?php phpinfo(); >? 的反向注入攻击，这在pgsql是不存在，这条语句运行结果为0, oracle等商用数据库没测试过，不过我觉得不会有这种结构上的漏洞。

mark35 发表于 2012-9-11 15:20
@Cnteacher
我当然明白这个函数是干嘛的。 所以我一直在说mysql是垃圾，而DZ被mysql所绑架，dz的程序开发 ...

mark35 你更让我们痛苦，知道为啥么？你指出了毛病但又不给要吃 让我们觉得自己病了但是得不到医治。请再写篇文章：discuz x2.5几处优化 让你飞一般的感觉   给我们治治病吧 我打算用dz做一个门户 但是 最近总感觉dz的速度令人堪忧 尤其是和pw的新版测试站相比，一直犹豫是不是discuz的框架、代码不如pw啊 给点建议呗