Nếu bạn đã từng sử dụng hôm hệ thống mã nguồn mở nhưng WordPress, Joomla… hay bất kỳ hệ thống nào khác trên nền tảng PHP, có lẽ bạn sẽ bị choáng ngợp bở vô vàng những thư viện, plugin kèm theo… chắc chắn không phải ai trong số chúng ta biết được những câu lệnh viết trong đó có ý nghĩa gì? Tại sao có những người viết ra cho chúng ta sử dụng miễn phí… hôm trước tôi có nghe một câu ngạn ngữ rất tâm đắc: “không có miếng pho-mát thơm ngon mà không mất tiền mua, nếu có thì nó sẽ nằm ở trên cái bẫy chuột” 😀
Thực tế thì tôi cũng là một trong những nhà phát triển, tôi vô cùng hủng hộ những người làm vì lý tưởng, cấu nghiến cho xã hội vô điều kiện, tôi tin rằng thời gian và trách nhiệm của mỗi chúng ta sẽ giúp cho họ có những bù đắp trong tương lai. Với tôi, chỉ đơn giản là tốt làm vì sở thích, nó giống như một hình thức giải trí bằng “công việc”. Nhưng với thời đại người khôn của khó… cũng nên phải đề phóng. Tôi xin giới thiệu một số lưu ý và các thức kiểm tra một mã nguồn “miễn phí” mà bạn lượm được, để tránh các rủi ro trong tương lai, hay kiểm tra thật kỹ các thông tin sau:
Mã nguồn không được có đoạn “mã hóa” nào, vì nếu gặp những đoạn mã này, bạn sẽ không biết script làm gì với website của mình.
Kiểm tra lại các hàm sau có tồn tại trong mã nguồn của bạn sử dụng, nếu có hay đọc thật kỹ để biết chính xác những gì tác giả làm sẽ không gây hại gì cho website của bạn:
- base64_encode: nếu có hàm này, bạn hãy cần thận vì sẽ mã hóa một đoạn dữ liệu sau đó sử dụng hàm kế tiếp để thực hiện.
- base64_decode
- file_get_contents: thay vì mã hóa nội dung trong code, script có thể lấy dữ liệu từ site khác để thực thi những mã lệnh bạn không mong muốn.
- curl: tương tự như hàm trên, thay vì sử dụng 1 câu lệnh, thư viện curl sẽ thực hiện các lệnh trao đổi dữ liệu nâng cao hơn.
- http: là một thư viện của PHP sử dụng để giao tiếp với các site khác… tất nhiên nếu bạn viết thì không thành vấn đề, hay xem lại tác giả xử lý gì với câu lệnh ấy nhé.
- eval: Hàm này vô cùng nguy hiểm khi sử dụng, vì nó sẽ thực hiện các lệnh có trong chuỗi truyền vào…
Một cách an toàn khi sử dụng các mã nguồn không rõ lai lịch, hay đổi các tên thư mục cơ sở của bạn về những dạng “không giống ai” các “tác giả” có ý định xấu, sẽ không thể biết cấu trúc site của bạn ra sao để “xử lý” cả.
Tiếp nữa là kiểm tra chmod để chắc chắn rằng không ai có thể ghi, chỉnh sửa dữ liệu mã nguồn trên website ngoài bạn.
Điều cuối cùng, nếu bạn có đủ kinh phí, hay mua và ủng hộ các nhà phát triển chân chính, thay vì sử dụng những mã nguồn không rõ nguồn gốc nhé.
Chúc bạn thành công.
Leave a Reply