webshop op shared server, bad practices?

Je kan ook een eigen sessie systeem maken (volgens mij kan je zelfs iets aan het php sessie systeem hangen zodat het php systeem gebruikt maakt van jou systeem) welke het bijvoorbeeld in een database opslaat als dat je probleem is

"De klant" heeft wel geld om een webshop te laten maken, maar een VPS van 10 euro per maand is teveel geld?

Met alleen een VPS ben je er niet, voor 10 euro per maand heb je geen managed VPS hosting. Eenmalig een server nemen en nooit updaten is pas een bad practice.

edit: neemt niet weg dat ik het er wel mee eens ben, alleen het bedrag kan niet kloppen. Vraag me meteen ook af voor welke habbekrats de TS dit in elkaar gaat steken

edit2: ik zou de klantgegevens sowieso encrypten, als er vanwege een SQL injection dan data lekt dan heb je er zonder de key in je code ieder geval niks aan.

[ Voor 54% gewijzigd door Cartman! op 18-02-2013 19:43 ]

Zeker ook even kijken of safe_mode en consorten goed staan ingesteld. En world-writable directories wil je ook niet hebben. Best zoek je een shared hosting pakket waarbij de PHP-processen onder het eigen account draaien, dan heb je al veel minder sores.

Saven schreef op maandag 18 februari 2013 @ 17:32:
Ik moet voor een klant een custom webshop bouwen op basis van PHP/MySQL (hij vindt opensource dingen te groot en te zwaar, so be it, dat is de discussie niet ).

Toch altijd weer mooi. Jij moet het maken, dus blijkbaar weet de klant er zelf niet genoeg van, maar wel weer implementatie-specifieke eisen hebben die waarschijnlijk alleen een keer ergens gehoord zijn zonder de betekenis te kennen. Alsof ik iemand een gebouw laat bouwen waar ik totaal niets van weet, en dan eisen stel aan het type beton. Want hoezo vindt hij dat te zwaar en/of te groot? Waarschijnlijk draait het na jaren in de praktijk getest te zijn en de anwege de duizenden ontwikkeluren een stuk beter/veiliger/sneller dan alles dat je zelf kan maken. Zeker met wat aanvullend handwerk. Vreemd dat als het om computers gaat iedereen overal een mening over heeft

Maar sorry voor de off-topic post...

Er draaien bij ons genoeg webshops op shared hosting servers. Wij raden het af maar als de klant max 40 euro per jaar wil betalen... En bij een uurtje downtime indien grote storing bellen ze je plat dat ze honderden euro's omzet mislopen.

Eijkb schreef op maandag 18 februari 2013 @ 21:12:
Er draaien bij ons genoeg webshops op shared hosting servers. Wij raden het af maar als de klant max 40 euro per jaar wil betalen... En bij een uurtje downtime indien grote storing bellen ze je plat dat ze honderden euro's omzet mislopen.

haha zo herkenbaar

Saven schreef op maandag 18 februari 2013 @ 17:32:
Hey programmers,

Ik moet voor een klant een custom webshop bouwen op basis van PHP/MySQL (hij vindt opensource dingen te groot en te zwaar, so be it, dat is de discussie niet ).
Alleen vanwege zijn budget kan hij geen VPS of dedicated server nemen, waardoor hij dus voorlopig is aangewezen op een shared hosting pakket.

Nu vroeg ik mij af wat voor potentiële veiligheidsrisico's dit met zich mee kan brengen. Zo heb ik bijvoorbeeld gelezen dat de map waar PHP de sessies opslaat, toegankelijk (kan zijn?) voor iedereen op die server.
Nu zal dat in mijn geval geen groot veiligheidsprobleem zijn omdat ik in principe alleen cookies gebruik en een database sessie systeem. En mocht ik al iets opslaan in een php sessie, zullen dat geen kritieke gegevens zoals persoonsgegevens zijn.

Vaak is de /tmp directory voor alle gebruikers benaderbaar. Je kan dus ook ge-uploade bestanden en andere dingen van andere gebruikers uitlezen. Om alles een beetje gescheiden te houden is er vaak suPHP geinstalleerd. Dan worden sessies niet meer gedeeld maar kan je ook geen opcode-caching gebruiken. Daarom worden grote pakketten met veel bestanden/code/frameworks juist traag.

In plaats van geld aan jou te geven om iets volledig custom te bouwen is het waarschijnlijk verstandiger om een VPS te nemen met een PHP accelerator geinstalleerd. Een "zwaar" pakket zoals Magento of OpenCart zal dan veel sneller zijn met meer features. Dat kost minder dan een developer inhuren om op een trage gedeelde host een snelle/kleine shop te zetten. Dan heb je minder mogelijkheden en ben je voor iedere aanpassing weer afhankelijk van diezelfde developer.

Het budget van de klant is waarschijnlijk niet zo hoog. Een VPS is een stuk duurder dan de hosting kosten van €10/maand. De administrator die het up to date en veilig moet houden kost een veelvoud daarvan. Waarschijnlijk kan de klant het beste een kant en klaar oplossing gebruiken zoals seoshop.nl. Bij een lage omzet valt daar niet tegenop te ontwikkelen/ onderhouden. Er zijn ook goedkopere alternatieven dan seoshop.nl.

Waarom leeft iedereen in de illusie dat VPS een administrator vereist terwijl de meeste shared-hosting dit ook helemaal niet heeft.

Saven schreef op maandag 18 februari 2013 @ 23:32:
[...]
Hmm, geuploadde afbeeldingen of andere bestanden worden toch meteen uit de tmp dir gehaald nadat ze geupload zijn?

Definieer meteen eens? Als ik een php-script draai wat constant de tmp-dir copieert, hoeveel ga ik dan meepakken van jouw uploads?

Saven schreef op maandag 18 februari 2013 @ 23:32:
Hmm, geuploadde afbeeldingen of andere bestanden worden toch meteen uit de tmp dir gehaald nadat ze geupload zijn?

Weet je wat het mooie aan race conditions is ? ...

Welke request is dat? Upload-request of php-request?

In geval staat het bestand er namelijk wel een tijdje als je het gelijk probeert te verwerken in je db.

Maar wat je voor de grap zou kunnen doen is een lokale wamp/xamp neerzetten en dan een constante filemonitor op je FS houden en dan simpelweg kijken wat er buiten je homedir geschreven wordt, dat moet je handmatig fixen. Vertrouw geen mooie verhaaltjes van je hoster, meten is weten.

Gomez12 schreef op maandag 18 februari 2013 @ 23:41:
Waarom leeft iedereen in de illusie dat VPS een administrator vereist terwijl de meeste shared-hosting dit ook helemaal niet heeft.

Beide behoeven toch onderhoud en dus een administrator? In het geval van shared hosting wordt dat door de host gedaan, in het geval van een VPS door de host (managed) of door jezelf (unmanaged). Dat is toch geen illusie?

edit:
Oh, dus met je cynische, retorische vraag en verwijt van naïviteit jegens je discussiegenoten bedoel je dat Saven op moet passen voor amateuristische hosts die hun servers niet up-to-date houden. Zeg dat dan

[ Voor 44% gewijzigd door 8088 op 19-02-2013 00:53 ]

Dat het in geval van shared hosting door de hoster wordt gedaan schaar ik toch rustig onder illusie hoor.

Tuurlijk heb je de goeden, maar voor elke goede zijn er 1000'en bagger hosters die het niet doen.

@Saven : Reeel veiligheidsgevaar is dat je dingen onderschat. Cookies = sessies (of je moet het echt allemaal afgevangen hebben buiten standaard manieren van php om), db-backend voor sessie-info is niet relevant, want als iemand de sessie kan hijacken dan kan hij vanuit de sessie alles uit je db-backend lezen.

Saven schreef op maandag 18 februari 2013 @ 23:57:
[...]

Zal ik eens doen Verder nog andere ideeën voor wat potentieel gevaarlijk zou kunnen zijn? (reëel gezien)

Puntje om op te letten is dat je een eigen IP adres nodig hebt voor SSL. Niet alle shared hosters bieden dit aan.

Saven schreef op maandag 18 februari 2013 @ 23:32:
[...]

Ik snap je post niet precies, maar ik weet wel degelijk hoe ik fatsoenlijk een php systeem moet bouwen De klant weet ook wat hij wil en daar hoort een te groot, uitgebreid software pakket niet bij. Hij heeft op dit moment een leuk budget om de webshop door mij te laten ontwikkelen (nee geen honderd euro en een lollie) maar de kosten voor een managed vps of dedicated server vindt hij op dit moment nog te veel (gezien dat een redelijk bedrag is per maand).

Iedereen komt met alternatieven omdat je geen bedragen noemt, en dus uitgaat van wat zij denken wat normaal is.

Als ik even wat grove schattingen maak dan kom ik ook uit op bedragen die in combinatie met jouw situatieschets niet kloppen.

Voor zover ik weet heb je al een VPS voor 10 tot 20 euro per maand. Een shared host een paar euro minder.

Een professionele PHP-developer kost 80 tot 120 euro per uur. Een simpele webshop vanuit niets opbouwen kost je zeker toch wel 2 weken als je het simpel houdt en heel snel werkt. Dat is dus 6400 euro minimaal.

Zelfs met een afwijking van 50% in deze schattingen lijkt het me dat de klant geen niet de meest kostenefficiente beslissing maakt.

Saven schreef op maandag 18 februari 2013 @ 23:32:
Ik snap je post niet precies, maar ik weet wel degelijk hoe ik fatsoenlijk een php systeem moet bouwen De klant weet ook wat hij wil en daar hoort een te groot, uitgebreid software pakket niet bij.

Ik zeg ook niet dat jij het niet kan; ik vraag me af wat de beweegredenen zijn tegen een "groot, uitgebreid software pakket".

Stel even dat je bijvboorbeeld zoiets als dit gebruikt: http://virtuemart.net/home/demo (of een ander opensource e-commerce pakket). Dat is dan Joomla gebasseerd. Je kan een VPS Joomla host al vanaf 5 euro per maand krijgen. Maar stel dat je het allemaal wat beter wilt dat het 25 euro per maand is. Het "grote zware" ecommerce pakket moet ook geconfigureerd worden en opgezet etc, dus daar ben je een week mee bezig, 40 uur, tegen 40 euro per uur = 1600 euro, plus twee jaar draaien 24 * 25 = 600. Kosten 2200 euro voor een mooie, snelle, veilige webshop voor twee jaar.

Jij gaat nu from-scratch bouwen (begreep ik?) en doet er zo'n 4 weken over (minimaal lijkt me) 160 * 40 = 6400 ontwikkelkosten, en dan nog twe jaar hosten voor 4 euro in de maand 24 * 4 = 96. Totale kosten voor twee jaar: 6496. Bijna drie keer zoveel voor een, eigenlijk, inferieur product.

Dus wat is er tegen het open source pakket? Waarom wil de klant het niet? Waarom maakt de klant bezwaar tegen een technisch aspect. Hij wil toch gewoon een webshop die draait lijkt me? Ongeacht hoe het werkt. Daarom vond ik het vreemd van de klant om dan technische eisen te stellen.

(en ik denk dat de ontwikkeltijden veel hoger liggen eerlijk gezegd)

Handwerk is imho alleen maar handig (he-heh) als je of het voor jezelf doet, mede als hobby, en toch de tijd hebt (feitelijk gratis, kost alleen tijd), of dat je echt iets heel specifieks nodig hebt en daar bakken met geld voor beschikbaar.

[ Voor 8% gewijzigd door Zoijar op 19-02-2013 21:18 ]

-DarkShadow- schreef op dinsdag 19 februari 2013 @ 13:03:
Puntje om op te letten is dat je een eigen IP adres nodig hebt voor SSL. Niet alle shared hosters bieden dit aan.

Als Windows XP-support je niet interesseert kun je tegenwoordig gerust SNI gebruiken en heb je dus geen eigen IP-adres nodig voor SSL

Johnny schreef op dinsdag 19 februari 2013 @ 20:57:
Voor zover ik weet heb je al een VPS voor 10 tot 20 euro per maand. Een shared host een paar euro minder.

Je hebt bij Tilaa zelfs al een VPS voor 4 euro per maand. Geen al te hoge specs, maar acceptabel voor een kleine website. Da's uiteraard niet managed, maar als je bijvoorbeeld Debian gebruikt is het bijhouden van security updates ook niet moeilijk.

deadinspace schreef op dinsdag 19 februari 2013 @ 22:58:
[...]

Als Windows XP-support je niet interesseert kun je tegenwoordig gerust SNI gebruiken en heb je dus geen eigen IP-adres nodig voor SSL

Zakelijk gezien kan je winXP support niet missen. Simpel

Gomez12 schreef op dinsdag 19 februari 2013 @ 23:23:
[...]

Zakelijk gezien kan je winXP support niet missen. Simpel

Nog niet
Nog maar een jaartje (eindelijk)

Ik zie maar 1 bad practice eigenlijk, en dat is een webshop op een shared hosting account. Voor de rest, doe je ding.. Als jij de arrogantie hebt om een betere webshop in je eentje te maken dan een team van mensen die dingen als prestashop, drupal commerce en magento bedenken en maken, doe je ding. Maar kom niet huilen als je shop over een paar maanden of jaar uit zijn voegen barst en je je klant niet meer kunt helpen binnen een redelijke set uren omdat je in den beginnen een foute inschatting gemaakt heb dat het toch nooit een grote shop gaat worden.

Maar misschien heb ik het verkeerd, en was je over een jaartje onze oren omdat je in je eentje de nieuwe bol.com gemaakt heb

Maar goed, misschien ter inspiratie : https://github.com/vespolina Symfony2 based ecommerce bundles.

Gomez12 schreef op dinsdag 19 februari 2013 @ 23:23:
Zakelijk gezien kan je winXP support niet missen. Simpel

Hmm, ik heb even wat statistieken opgezocht, en XP lijkt op het web nog wat meer voor te komen dan ik dacht inderdaad. Maar het is natuurlijk wel een aflopende zaak

Overigens was ik ook niet helemaal compleet in mijn vorige post: het is alleen IE op XP dat geen SNI ondersteunt. Moderne browsers zoals Firefox, Chrome en Opera ondersteunen dat voorzover ik weet namelijk wel.