huge

Hanya solusi otentikasi pengguna sederhana di dalam kerangka kerangka kerja super sederhana yang langsung berfungsi (dan dilengkapi dengan penginstal otomatis), menggunakan implementasi hashing/salting kata sandi bcrypt resmi yang tahan masa depan dari PHP 5.5+, plus beberapa fitur bagus yang akan mempercepat waktu dari ide hingga aplikasi prototipe pertama yang dapat digunakan secara dramatis. Tidak lebih. Proyek ini berfokus pada kesederhanaan yang nyata. Semuanya sesederhana mungkin, dibuat untuk proyek yang lebih kecil, pekerjaan agensi biasa, dan draf cepat. Jika Anda ingin membangun aplikasi perusahaan besar dengan semua fitur yang dimiliki kerangka kerja modern, lihatlah Laravel, Symfony atau Yii, tetapi jika Anda hanya ingin dengan cepat membuat sesuatu yang berfungsi, maka skrip ini mungkin menarik untuk Anda.

Arsitektur HUGE yang sesederhana mungkin terinspirasi oleh beberapa pembicaraan konferensi, slide dan artikel tentang aplikasi besar yang - secara mengejutkan dan disengaja - kembali ke dasar-dasar pemrograman, menggunakan pemrograman prosedural, kelas statis, konstruksi yang sangat sederhana, tidak sepenuhnya KERING kode dll. sambil menjaga kode tetap mudah dibaca (StackOverflow, Wikipedia, SoundCloud).

Beberapa Kata Kunci menarik dalam konteks ini: KISS, YAGNI, Feature Creep, Produk yang layak minimum.

Untuk menjaga proyek ini tetap stabil, aman, bersih dan minimal, saya memutuskan untuk mengurangi pengembangan HUGE seminimal mungkin. Jangan khawatir, ini sebenarnya hal yang baik: Fitur baru biasanya berarti bug baru, banyak pengujian, perbaikan, ketidakcocokan, dan bagi sebagian orang bahkan tekanan pembaruan yang berat. Karena HUGE adalah skrip yang sangat penting bagi keamanan, fitur-fitur baru tidak sepenting inti yang stabil dan aman, inilah alasan orang menggunakannya. Artinya:

• BESAR tidak akan mendapatkan fitur baru
• tapi akan dipertahankan, jadi pasti mendapat perbaikan bug, koreksi dll, mungkin bertahun-tahun

Dan sejujurnya, mempertahankan kerangka kerja gratis di waktu luang saya yang jarang juga bukanlah hal yang ingin saya lakukan secara permanen. :)

Terakhir, sebuah catatan kecil: Dunia PHP telah berkembang secara dramatis, kami memiliki kerangka kerja yang luar biasa dengan fitur-fitur luar biasa dan tim profesional yang besar, dokumentasi yang ditulis dengan sangat baik, dan komunitas yang besar, jadi tidak ada alasan untuk melakukan banyak pekerjaan pada kerangka kerja lain. Sebaliknya, harap berkomitmen pada kerangka kerja yang populer, maka pekerjaan Anda akan memiliki dampak yang lebih besar dan digunakan oleh lebih banyak orang!

Terima kasih kepada semua orang di sekitar proyek ini, selamat bersenang-senang! XOXO, Kris

• stabil v3.1,
• cabang beta publik: master
• cabang publik dalam pengembangan (harap komit kode baru di sini): kembangkan

• Fitur
• Demo Langsung
• Mendukung
• Ikuti proyeknya
• Lisensi
• Persyaratan
• Instalasi Otomatis
  • Instalasi Otomatis di Vagrant (juga berguna untuk instalasi BESAR yang 100% dapat direproduksi)
  • Instalasi Otomatis di server Ubuntu 14.04 LTS
• Instalasi (Ubuntu 14.04 LTS)
  • Instalasi Cepat
  • Instalasi Terperinci
  • Pengaturan NGINX
  • pengaturan IIS
• Dokumentasi
  • Cara menggunakan peran pengguna
  • Cara menggunakan fitur CSRF
• Fitur yang disediakan komunitas & diskusi fitur
• Masa depan proyek, mengumumkan EOL lembut
• Mengapa tidak ada forum dukungan lagi?
• Tidak ada toleransi terhadap idiot, troll, dan pengacau
• Menyumbang
• Tautan pemindai Kualitas Kode
• Laporkan bug

Pada tahun 2010/2011, tidak ada solusi login yang berguna di dunia PHP, setidaknya untuk non-ahli. Jadi saya melakukan kesalahan terburuk yang dilakukan setiap pengembang muda: Mencoba membangun sesuatu sendiri tanpa mengetahui dasar-dasar keamanan. Yang membuatnya lebih buruk lagi adalah: Web dulu (dan sekarang) penuh dengan tutorial yang sangat rusak tentang cara membangun sistem autentikasi pengguna, bahkan perusahaan terbesar di dunia pun melakukan kesalahan ini (kita berbicara tentang SONY, LinkedIn, dan Adobe di sini), dan juga banyak kerangka kerja utama dalam semua bahasa pemrograman besar (!) menggunakan teknologi penyimpanan kata sandi yang ketinggalan jaman dan tidak aman.

Namun, pada tahun 2012 pakar keamanan Anthony Ferrara menerbitkan perpustakaan PHP kecil, memungkinkan hashing kata sandi yang sangat aman, modern, dan benar dalam PHP 5.3 dan 5.4, dapat digunakan oleh setiap pengembang tanpa stres dan tanpa pengetahuan apa pun tentang keamanan internal. Scriptnya sangat mengagumkan sehingga ditulis ke dalam inti PHP 5.5, yang merupakan standar de-facto saat ini.

Ketika ini keluar, saya mencoba menggunakan perpustakaan telanjang ini untuk membangun sistem login out-of-the-box yang berfungsi penuh untuk beberapa proyek pribadi dan komersial, dan memasukkan kodenya ke GitHub. Banyak orang menganggap ini berguna, berkontribusi dan memperbaiki bug proyek, membuat fork, versi yang lebih kecil dan lebih besar. Hasilnya adalah proyek ini.

Harap dicatat: Sekarang, pada tahun 2015, sebagian besar kerangka kerja utama memiliki logika otentikasi pengguna yang sangat baik yang tertanam secara default. Hal ini tidak terjadi bertahun-tahun yang lalu. Jadi, dari sudut pandang saat ini mungkin lebih cerdas jika memilih Laravel, Yii atau Symfony untuk proyek yang serius. Namun jangan ragu untuk mencoba BESAR, penginstal otomatis akan menjalankan instalasi yang berfungsi penuh dalam beberapa menit dan tanpa konfigurasi apa pun.

Dan kenapa diberi nama "BESAR"? Ini kombinasi yang bagus untuk TINY, MINI dan MINI2, MINI3, yang merupakan beberapa proyek lama saya lainnya. Kerangka kerja mikro super minimal untuk pengembangan situs web sederhana yang sangat cepat dan sederhana.

• dibangun dengan fungsi hashing kata sandi PHP resmi, sesuai dengan standar web hashing/salting kata sandi paling modern
• fitur keamanan yang tepat, seperti pemblokiran CSRF (melalui token formulir), enkripsi konten cookie, dll.
• pengguna dapat mendaftar, login, logout (dengan nama pengguna, email, kata sandi)
• lupa kata sandi / reset
• ingat-saya (login melalui cookie)
• verifikasi akun melalui surat
• captcha
• pembatasan login yang gagal
• profil pengguna
• peningkatan/penurunan akun
• tipe pengguna sederhana (tipe 1, tipe 2, admin)
• mendukung avatar lokal dan Gravatar jarak jauh
• mendukung pengiriman email asli dan SMTP (melalui PHPMailer dan alat lainnya)
• pasti menggunakan PDO untuk akses database, memiliki DatabaseFactory yang bagus (jika proyek Anda menjadi besar)
• menggunakan penulisan ulang URL ("URL yang indah")
• pemisahan yang tepat antara aplikasi dan file publik (permintaan hanya masuk ke/publik)
• pasti menggunakan Komposer untuk memuat dependensi eksternal (PHPMailer, Captcha-Generator, dll.).
• sesuai dengan pedoman pengkodean PSR-0/1/2/4
• menggunakan pola Post-Redirect-Get untuk alur aplikasi yang bagus
• banyak komentar
• dipelihara secara aktif dan diperbaiki bug (namun, tidak ada fitur baru yang besar karena proyek secara perlahan mencapai Akhir Masa Pakainya)

• Dokumentasi nyata (saat ini tidak ada, tetapi kodenya dikomentari dengan baik)

Lihat demo langsung versi 3.0 yang lebih lama di sini dan phpinfo() server di sini.

Ada banyak pekerjaan di balik proyek ini. Saya mungkin menghemat ratusan, mungkin ribuan jam kerja (hitunglah biaya pengembang). Jadi ketika Anda menghasilkan uang dengan menggunakan HUGE, bersikaplah adil dan kembalikan sesuatu ke sumber terbuka. BESAR sepenuhnya gratis untuk penggunaan pribadi dan komersial.

Dukung proyek ini dengan menyewa server di DigitalOcean atau sekadar memberi tip kopi di BuyMeACoffee.com. Terima kasih! :)

Juga merasa bebas untuk berkontribusi pada proyek ini.

Berlisensi di bawah MIT. Benar-benar gratis untuk proyek pribadi atau komersial.

Pastikan Anda mengetahui dasar-dasar pemrograman berorientasi objek dan MVC, mampu menggunakan baris perintah dan pernah menggunakan Composer sebelumnya. Skrip ini bukan untuk pemula.

• PHP 5.5+
• Database MySQL 5 (lebih baik menggunakan versi 5.5+ karena versi yang sangat lama memiliki bug injeksi PDO
• menginstal ekstensi PHP: pdo, gd, openssl (panduan instalasi menunjukkan cara melakukannya)
• alat yang diinstal di server Anda: git, curl, composer (pedoman instalasi menunjukkan cara melakukannya)
• untuk pengiriman surat profesional: akun SMTP (saya menggunakan SMTP2GO)
• mengaktifkan mod_rewrite di server Anda (pedoman instalasi menunjukkan cara melakukannya)

Yo, sepenuhnya otomatis. Mengapa ? Karena saya selalu benci menghabiskan waktu berhari-hari mencari tahu cara memasang sesuatu. Ini akan menghemat banyak waktu dan kegelisahan Anda. Sumbangkan kopi jika Anda menyukainya.

Jika Anda menggunakan Vagrant untuk pengembangan Anda, sederhana saja

1. Tambahkan kotak resmi Ubuntu 14.04 LTS ke Vagrant Anda: vagrant box add ubuntu/trusty64
2. Pindahkan Vagrantfile dan bootstrap.sh (dari folder _one-click-installation ) ke folder tempat Anda ingin menginisialisasi proyek Anda.
3. Lakukan vagrant up di folder itu.

5 menit kemudian Anda akan menginstal HUGE sepenuhnya di dalam Ubuntu 14.04 LTS. Kode lengkap akan disinkronkan secara otomatis dengan folder saat ini. Kata sandi root MySQL dan kata sandi root PHPMyAdmin diatur ke 12345678 . Secara default 192.168.33.111 adalah IP kotak baru Anda.

Instalasi yang sangat sederhana di server khas Ubuntu 14.04 LTS yang segar dan telanjang:

Unduh skrip penginstal

wget https://raw.githubusercontent.com/panique/huge/master/_one-click-installation/bootstrap.sh

Jadikan itu bisa dieksekusi

chmod +x bootstrap.sh

Jalankan! Berikan waktu beberapa menit untuk melakukan semua tugas. Dan ya, kamu bisa berterima kasih padaku nanti :)

sudo ./bootstrap.sh

0. Pastikan Anda telah menginstal Apache, PHP, MySQL. tutorial.
1. Kloning repo ke folder di server Anda
2. Aktifkan mod_rewrite, rutekan semua lalu lintas ke folder /publik aplikasi. tutorial.
3. Edit aplikasi/konfigurasi: Tetapkan kredensial database Anda
4. Jalankan pernyataan SQL dari application/_installation untuk mengatur tabel database
5. Instal Komposer, jalankan Composer install pada folder akar aplikasi untuk menginstal dependensi
6. Jadikan folder avatar (aplikasi/publik/avatar) dapat ditulisi
7. Untuk penggunaan email yang benar: Tetapkan kredensial SMTP di file konfigurasi, setel EMAIL_USE_SMTP ke true

"Email tidak berfungsi"? Lihat pemecahan masalah di bawah. TODO

Ini hanyalah panduan singkat untuk memudahkan pengaturan lingkungan pengembangan!

Pastikan Anda telah menginstal Apache, PHP 5.5+ dan MySQL. Tutorial di sini. Nginx pasti akan berfungsi juga, tetapi belum ada pedoman instalasi yang tersedia.

Edit vhost untuk memungkinkan URL bersih dan rutekan semua lalu lintas ke folder /public proyek Anda:

sudo nano /etc/apache2/sites-available/000-default.conf

dan membuat file terlihat seperti

 <VirtualHost *:80>
    DocumentRoot "/var/www/html/public"
    <Directory "/var/www/html/public">
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

Aktifkan mod_rewrite dan mulai ulang apache.

sudo a2enmod rewrite
service apache2 restart

Instal curl (diperlukan untuk menggunakan git), openssl (diperlukan untuk mengkloning dari GitHub, karena github hanya https), PHP GD, lib grafis (kami membuat captcha dan avatar), dan git.

sudo apt-get -y install curl
sudo apt-get -y install php5-curl
sudo apt-get -y install openssl
sudo apt-get -y install php5-gd
sudo apt-get -y install git

git clone BESAR

sudo git clone https://github.com/panique/huge " /var/www/html "

Instal Komposer

curl -s https://getcomposer.org/installer | php
mv composer.phar /usr/local/bin/composer

Buka folder proyek, muat paket Komposer (--dev opsional, Anda tahu kesepakatannya)

 cd /var/www/html
composer install --dev

Jalankan pernyataan SQL. Melalui phpmyadmin atau melalui baris perintah misalnya. 12345678 adalah contoh kata sandinya. Perhatikan bahwa ini ditulis tanpa spasi.

sudo mysql -h " localhost " -u " root " " -p12345678 " < " /var/www/html/application/_installation/01-create-database.sql "
sudo mysql -h " localhost " -u " root " " -p12345678 " < " /var/www/html/application/_installation/02-create-table-users.sql "
sudo mysql -h " localhost " -u " root " " -p12345678 " < " /var/www/html/application/_installation/03-create-table-notes.sql "

Jadikan folder avatar dapat ditulisi (pastikan jalurnya benar!)

sudo chown -R www-data " /var/www/html/public/avatars "

Jika ini tidak berhasil untuk Anda, maka Anda dapat mencoba cara yang sulit dengan mengaturnya secara alternatif

sudo chmod 0777 -R " /var/www/html/public/avatars "

Hapus file demo default Apache

sudo rm " /var/www/html/index.html "

Edit konfigurasi aplikasi di application/config/config.development.php dan masukkan kredensial database Anda.

Bagian terakhir (tidak diperlukan untuk pengujian pertama): Tetapkan kredensial SMTP Anda di file yang sama dan atur EMAIL_USE_SMTP ke true, sehingga Anda dapat mengirim email yang benar. Sangat disarankan untuk menggunakan SMTP untuk pengiriman email! Pengiriman asli melalui mail() PHP tidak akan berfungsi di hampir semua kasus (pemblokiran spam). Saya menggunakan SMTP2GO.

Kemudian periksa IP/domain server Anda. Semuanya harus bekerja dengan baik.

Ini adalah pengaturan NGINX yang belum teruji. Silakan beri komentar pada tiket jika Anda melihat masalah.

 server {
    # your listening port
    listen 80;

    # your server name
    server_name example.com;

    # your path to access log files
    access_log /srv/www/example.com/logs/access.log;
    error_log /srv/www/example.com/logs/error.log;

    # your root
    root /srv/www/example.com/public_html;

    # huge
    index index.php;

    # huge
    location / {
        try_files $uri /index.php?url=$uri&$args;
    }

    # your PHP config
    location ~ .php$ {
        try_files $uri  = 401;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass unix:/var/run/php-fastcgi/php-fastcgi.socket;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

Terima kasih banyak kepada razuro untuk pengaturan yang bagus ini: Letakkan ini di dalam folder root Anda, tetapi jangan letakkan web.config apa pun di folder publik Anda.

 <?xml version="1.0" encoding="UTF-8"?><configuration>
    <system.webServer>
        <rewrite>
            <rules>
			
                <rule name="Imported Rule 1" stopProcessing="true">
                    <match url="^(.*)$" ignoreCase="false" />
					<conditions logicalGrouping="MatchAll">
                        <add input="{REQUEST_FILENAME}" matchType="IsDirectory" ignoreCase="false" negate="true" />
                        <add input="{REQUEST_FILENAME}" matchType="IsFile" ignoreCase="false" negate="true" />
                    </conditions>
                    <action type="Rewrite" url="public/index.php?url={R:1}" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

Temukan tiket aslinya di sini.

Secara default ada dua pengguna demo, pengguna normal dan pengguna admin. Untuk info lebih lanjut tentang hal itu silakan lihat bagian peran pengguna pada blok dokumentasi kecil di dalam readme ini.

Pengguna normal: Nama pengguna adalah demo2 , kata sandinya adalah 12345678 . Pengguna sudah diaktifkan. Pengguna admin (dapat menghapus dan menangguhkan pengguna lain): Nama pengguna adalah demo , kata sandinya adalah 12345678 . Pengguna sudah diaktifkan.

Ada beberapa file di folder root proyek yang mungkin mengganggu:

• .htaccess (opsional) merutekan semua lalu lintas ke /public/index.php! Jika Anda menginstal proyek ini dengan benar, maka file ini tidak diperlukan, tetapi karena banyak orang mengalami masalah dalam menyiapkan vhost dengan benar, .htaccess tetap ada untuk meningkatkan keamanan, bahkan pada instalasi yang rusak sebagian.
• .scrutinizer.yml (dapat dihapus): Konfigurasi untuk penganalisis kualitas kode eksternal Scrutinizer, hanya digunakan di sini di GitHub, Anda tidak memerlukan ini untuk proyek Anda.
• .travis.yml (dapat dihapus): Sama seperti di atas. Travis adalah layanan eksternal yang membuat instalasi repo ini setelah setiap perubahan kode untuk memastikan semuanya berjalan dengan baik. Juga menjalankan pengujian unit. Anda tidak memerlukan ini di dalam proyek Anda.
• composer.json (penting): Anda harus tahu fungsinya. ;) File ini menyatakan dependensi eksternal apa yang digunakan.
• travis-ci-apache (dapat dihapus): File konfigurasi untuk Travis, lihat di atas, sehingga Travis tahu cara mengatur Apache.

README dan CHANGELOG menjelaskan dengan sendirinya.

Dokumentasi nyata sedang dibuat. Sampai saat itu, silakan lihat kodenya dan gunakan fitur penyelesaian kode IDE Anda untuk mendapatkan gambaran cara kerjanya, ini cukup jelas ketika Anda melihat file pengontrol, file model, dan bagaimana data ditampilkan di file tampilan. Mohon maaf karena belum ada dokumentasinya, tetapi waktunya jarang dan kami semua melakukan ini secara gratis di waktu luang kami :)

• TODO: Dokumentasi lengkap
• TODO: Contoh dasar tentang cara melakukan sesuatu

Saat ini ada dua jenis pengguna: Pengguna normal dan admin. Ada yang persis sama, tapi...

1. Pengguna admin dapat menghapus dan menangguhkan pengguna lain, mereka memiliki tombol tambahan "admin" di navigasi. Pengguna admin memiliki nilai 7 di dalam bidang tabel database user_account_type . Mereka tidak dapat meningkatkan atau menurunkan versi akun mereka (karena ini tidak masuk akal).

2. Pengguna normal pasti tidak memiliki fitur admin. Namun mereka dapat meningkatkan dan menurunkan versi akun mereka (cobalah melalui /user/changeUserRole), yang pada dasarnya merupakan implementasi super sederhana dari konsep pengguna dasar/pengguna premium. Pengguna normal memiliki nilai 1 atau 2 di dalam bidang tabel database user_account_type . Secara default semua pengguna baru yang terdaftar adalah pengguna biasa dengan peran pengguna 1 pastinya.

Lihat bagian "Menguji dengan pengguna demo" pada readme ini untuk info lebih lanjut.

Ada juga permintaan tarik yang sangat menarik yang menambahkan peran pengguna dan izin pengguna, yang tidak diintegrasikan ke dalam proyek karena terlalu canggih dan rumit. Tapi, ini mungkin yang Anda butuhkan, silakan mencobanya.

Untuk mencegah serangan CSRF, HUGE melakukan hal ini dengan cara yang paling umum, dengan menggunakan token keamanan ketika pengguna mengirimkan formulir penting. Artinya: Ketika PHP merender formulir untuk pengguna, aplikasi menempatkan "string acak" di dalam formulir (sebagai kolom masukan tersembunyi), yang dihasilkan melalui Csrf::makeToken() (application/core/Csrf.php), yang juga menyimpan token ini ke sesi. Saat formulir dikirimkan, aplikasi memeriksa apakah permintaan POST berisi token formulir yang ada di dalam sesi.

Fitur pencegahan CSRF ini saat ini diterapkan pada proses formulir login (lihat application/view/login/index.php ) dan proses formulir perubahan nama pengguna (lihat application/view/user/editUsername.php ), sebagian besar formulir lainnya tidak aman- kritis dan harus tetap sesederhana mungkin.

Jadi, untuk melakukan ini dengan formulir normal, cukup: Di formulir Anda, sebelum tombol kirim, masukkan: <input type="hidden" name="csrf_token" value="<?= Csrf::makeToken(); ?>" /> Kemudian, dalam tindakan pengontrol, validasi token CSRF yang dikirimkan bersama formulir dengan melakukan:

 // check if csrf token is valid
if (!Csrf::isTokenValid()) {
    LoginModel::logout();
    Redirect::home();
    exit();
}

Terima kasih banyak kepada OmarElGabry karena telah menerapkan ini!

Secara teori: Ya, tapi fitur ini tidak berfungsi dalam pengujian saya. Karena ini merupakan fitur eksternal, silakan lihat tiket yang sesuai untuk informasi lebih lanjut.

• Di 3.0 dan 3.1 pengguna dapat masuk ke aplikasi dari perangkat/browser/lokasi yang berbeda. Ini adalah perilaku yang disengaja karena ini adalah standar di sebagian besar aplikasi web saat ini. Di versi 3.2 masih fitur "hilang" secara default, pengguna hanya dapat login dari satu browser pada waktu yang sama. Ini merupakan peningkatan keamanan, namun tentunya tidak optimal bagi banyak pengembang. Rencananya adalah menerapkan saklar konfigurasi yang akan mengizinkan/melarang login dari beberapa browser.
• Menggunakan ini pada sub-domain? Anda mungkin mendapatkan masalah dengan cookie di IE11. Perbaiki ini dengan mengganti "/" dengan "./" dari lokasi cookie COOKIE_PATH di dalam application/config/config.xxx.php! Periksa tiket #733 untuk info lebih lanjut. Terima kasih kepada jahbiuabft karena telah menemukan jawabannya. Pembaruan: Ada tiket lain yang berfokus pada masalah yang sama: tiket #681

Ada beberapa fitur luar biasa atau ide fitur yang dibuat oleh orang-orang hebat, namun fitur ini terlalu menarik untuk dimasukkan ke dalam versi utama HUGE, namun lihatlah tiket ini jika Anda tertarik:

• Sistem cache
• ReCaptcha sebagai captcha
• Fitur internasionalisasi
• Menggunakan pengontrol A di dalam pengontrol B
• email HTML
• Peran pengguna yang mendalam / sistem izin pengguna

Ide dari proyek ini adalah untuk menyediakan aplikasi barebone super sederhana dengan sistem otentikasi pengguna lengkap di dalamnya yang berfungsi dengan baik dan stabil. Karena sifat skrip ini yang sangat terkait dengan keamanan, setiap perubahan berarti banyak pekerjaan, banyak pengujian, menangkap kasus-kasus edge, dll., dan pada akhirnya saya menghabiskan 90% waktu untuk menguji dan memperbaiki fitur-fitur baru atau kerusakan fitur-fitur baru yang sudah ada. hal-hal lain, dan melakukan hal ini bukanlah hal yang ingin dilakukan siapa pun secara gratis di waktu luang yang langka :)

Untuk menjaga agar proyek tetap stabil, bersih, dan dapat dipelihara, saya dengan hormat mengumumkan "Soft-End of Life" untuk proyek ini, artinya:

A. BESAR tidak akan mendapatkan fitur baru apa pun di masa mendatang, tetapi ... B. perbaikan bug dan koreksi akan dilakukan, mungkin selama bertahun-tahun

Saat HUGE sedang dalam pengembangan, ada 3 aturan utama yang membantu saya (dan mungkin orang lain) untuk menulis kode yang minimal, bersih, dan berfungsi. Mungkin bermanfaat bagi Anda juga:

1. Kurangi fitur seminimal mungkin.
2. Jangan menerapkan fitur yang tidak dibutuhkan oleh sebagian besar pengguna.
3. Hanya buat semuanya untuk kasus penggunaan paling umum (seperti MySQL, bukan PostGre, NoSQL, dll).

Seperti disebutkan dalam pendahuluan README ini, ada juga beberapa konsep hebat yang mungkin bisa membantu Anda ketika mengembangkan hal-hal keren: KISS, YAGNI, Feature Creep, Produk yang layak minimum.

Untuk menghindari pekerjaan yang tidak perlu bagi kita semua, saya menyarankan semua orang untuk menggunakan HUGE untuk proyek sederhana yang hanya membutuhkan fitur-fitur yang sudah ada, dan jika Anda benar-benar membutuhkan arsitektur, migrasi, perutean, 2FA, dll yang tenang, maka itu lebih mudah, lebih bersih dan lebih cepat cukup menggunakan Laravel, Symfony atau Zend.

Namun, berikut adalah kemungkinan fitur yang disarankan komunitas, diambil dari banyak tiket. Jangan ragu untuk menerapkannya ke dalam cabang proyek Anda:

• Implementasi OAuth2 (biarkan pengguna Anda membuat akun dan masuk melalui autentikasi pihak ketiga, seperti Facebook, Twitter, GitHub, dll). Karena ini merupakan pekerjaan yang banyak dan akan membuat proyek jauh lebih rumit, mungkin masuk akal untuk melakukan ini secara terpisah atau melewatkannya sama sekali. (lihat Tiket #528)
• Router (petakan semua URL ke metode pengontrol yang sesuai di dalam satu file), Tiket 727
• Arsitektur yang tenang (lihat tiket #488 untuk diskusi)
• Penskalaan MySQL horizontal (lihat tiket #423 untuk diskusi)
• Modul / middleware
• Pencatatan
• Otentikasi Dua Faktor (lihat tiket #732)
• URL tanpa pengontrol (lihat tiket #704)
• Validasi ulang email setelah perubahan email (lihat tiket #705)
• Terhubung ke beberapa database (lihat tiket #702)
• Sistem peran pengguna yang lebih mendalam (lihat tiket #701, permintaan tarik #691), tiket #603
• Cara menjalankannya tanpa menggunakan tiket Composer #826

Ada dua (!) forum dukungan untuk v1 dan v2 proyek ini (HUGE adalah v3), dan keduanya dirusak oleh orang-orang yang bahkan tidak membaca readme dan/atau pedoman instalasi. Pertanyaan yang paling banyak diajukan adalah "skrip tidak berfungsi, mohon bantuannya" tanpa memberikan informasi berguna apa pun (seperti kode atau pengaturan server atau bahkan versi yang digunakan). Saat saya menulis baris ini, seseorang baru saja bertanya melalui Twitter "bagaimana cara menginstal tanpa Komposer". Anda tahu apa yang saya maksud :) - 99% pertanyaan tidak diperlukan jika orang-orang sudah membaca pedoman, melakukan riset minimal sendiri, atau berhenti membuat hal-hal rumit yang tidak perlu. Dan bahkan ketika menulis jawaban rinci kebanyakan dari mereka masih mengacaukannya, sehingga menimbulkan kata-kata kasar dan keluhan (untuk dukungan gratis untuk perangkat lunak gratis!). Sungguh membuat frustrasi menghadapi hal ini setiap hari, terutama ketika orang-orang menganggap remeh bahwa sudah menjadi tugas pengembang sumber terbuka untuk memberikan dukungan terperinci, gratis, dan pribadi untuk setiap permintaan "tolong bantu".

Jadi saya memutuskan untuk sepenuhnya menghentikan dukungan gratis apa pun. Untuk pertanyaan serius tentang masalah nyata di dalam skrip, silakan gunakan fitur masalah GitHub.

Kata-kata yang kasar, tetapi karena pada dasarnya setiap proyek internet publik dilecehkan, dirusak, dan diejek akhir-akhir ini oleh orang-orang yang sangat aneh, maka diperlukan: Beberapa aturan sederhana.

1. Hormatilah bahwa ini hanyalah naskah sederhana yang ditulis oleh sukarelawan tidak berbayar di waktu luang mereka. Ini BUKAN perangkat lunak bisnis yang Anda beli seharga $10.000. Tidak ada alasan untuk mengeluh (!) tentang perangkat lunak sumber terbuka gratis. Sikap terhadap perangkat lunak bebas benar-benar membuat frustrasi akhir-akhir ini, orang-orang menganggap remeh segalanya tanpa menyadari pekerjaan di baliknya, dan fakta bahwa mereka mendapatkan perangkat lunak yang serius secara gratis, sehingga menghemat ribuan dolar. Jika Anda tidak menyukainya, jangan gunakan itu. Jika Anda menginginkan sebuah fitur, cobalah untuk mengambil bagian dalam prosesnya, bahkan mungkin membuatnya sendiri dan menambahkannya ke proyek! Bersikaplah baik dan hormat. Kritik yang membangun pasti selalu diterima!

2. Jangan menghina, jangan membenci, jangan mengirim spam, jangan merusak. Mohon jangan meminta dukungan gratis secara pribadi, jangan bertanya apakah seseorang dapat melakukan pekerjaan Anda untuk Anda. Sebelum Anda menanyakan sesuatu, pastikan Anda telah membaca README, mengikuti setiap tutorial, memeriksa ulang kodenya dan mencoba menyelesaikan masalahnya sendiri.

Troll dan orang yang sangat mengganggu akan mendapatkan ban/blok permanen. GitHub memiliki tim anti-penyalahgunaan yang sangat kuat.

Harap komit hanya di cabang pengembangan . Cabang master akan selalu berisi versi stabil.

Scrutinizer (cabang master), Scrutinizer (cabang pengembangan), Code Climate, Codacy, SensioLabs Insight.

Karena kemungkinan konsekuensi ketika menerbitkan bug pada proyek sumber terbuka publik, saya dengan hormat meminta Anda mengirimkan bug yang sangat besar ke alamat email saya, bukan mempostingnya di sini. Jika bug tidak menarik bagi penyerang: Jangan ragu untuk membuat masalah GitHub yang normal.

Lihat masalah aktif di sini: https://github.com/panique/huge/issues?state=open

Masalah menarik: Saat pengguna membuka situs web Anda, browser pengguna juga akan meminta satu atau lebih (!) favicon (ukuran berbeda). Jika file statis ini tidak ada, aplikasi Anda akan mulai menghasilkan respons 404 dan halaman 404 untuk setiap file. Ini menghabiskan banyak daya server dan juga tidak berguna, oleh karena itu pastikan Anda selalu memiliki favicon atau menanganinya dari level Apache/nginx.

HUGE mencoba menangani ini dengan mengirimkan gambar kosong di kepala view/_templates/header.php !

Lebih lanjut di dalam tiket ini: Kembalikan 404 yang tepat untuk favicon.ico yang hilang, gambar yang hilang, dll.

Lebih lanjut di sini di Stackflow: Bagaimana cara mencegah permintaan favicon.ico? Bukankah konyol jika favicon kecil memerlukan permintaan HTTP lagi? Bagaimana cara membuat favicon menjadi sprite?.

• Berapa lama sesi saya akan berlangsung?
• Bagaimana cara mengakhiri sesi PHP setelah X menit?
• Cara menggunakan PDO
• Panduan singkat tentang cara menggunakan fungsi hashing kata sandi PHP 5.5 dan implementasi PHP 5.3 & 5.4-nya
• Cara setup versi terbaru PHP 5.5 di Ubuntu 12.04 LTS
• Cara setup versi terbaru PHP 5.5 di Debian Wheezy 7.0/7.1 (dan cara memperbaiki kesalahan kunci GPG)
• Catatan tentang kata sandi & hashing salting di versi PHP mendatang (PHP 5.5.x & 5.6 dll.)
• Beberapa "tolok ukur" dasar dari semua algoritma hash/salt PHP
• Bagaimana mencegah sesi PHP dibagikan antara vhost Apache yang berbeda/aplikasi yang berbeda

• artikel menarik tentang pengaturan ulang kata sandi (oleh Troy Hunt, pakar keamanan)
• Login Email Tanpa Kata Sandi: Tiket & diskusi, artikel
• Masuk melalui kode QR: Tiket & diskusi, artikel bahasa inggris, artikel bahasa jerman, repo, live-demo. Terima kasih banyak kepada PHPGangsta karena telah menulis ini!

Saya juga ngeblog di Dev Metal .