Хранить php-код в базе данных MySQL — насколько это корректно?

Question

[artemev]

На одном сайте нужно сделать раздел психологических тестов. Делать для каждого теста отдельный файл очень не хочется, поэтому всё будет храниться в базе данных. Это просто и удобно.

Тесты бывают с простым ключом: это когда каждому ответу соответствует определенный балл. Все баллы суммируются, и на основе этой суммы выдается результат. Для такого рода тестов не требуется отдельный php-обработчик. Он для всех один. Суть работы проста до безобразия. На основе суммы баллов в базе ищется соответствующий результат. Таблица примерно такая:

test_id | min_score | max_score | result
----------------------------------------------------------
1       | 0         | 3         | Результат 1.1
1       | 4         | 6         | Результат 1.2
1       | 7         | 9         | Результат 1.3
2       | 0         | 5         | Результат 2.1
2       | 6         | 9         | Результат 2.2

Таким образом, если сумма баллов, например, 5 и test_id = 1, то будет выдан "Результат 1.2"

Но бывают тесты со сложным ключом. Простым суммированием баллов там не обойтись. Например, что-то типа этого:
если на вопрос 1 был дан ответ А, то увеличить сумму баллов на 5.
если на вопрос 2 был дан ответ С, то уменьшить сумму баллов на 10.
если на вопрос 3 был дан ответ А и на вопрос 8 был дан ответ В, то результат теста недостоверен
и т.д.

В таком случае без php-обработчика не обойтись. Хранить для каждой теста свой обработчик в отдельном файле, это почти то же самое, что делать для каждого теста отдельный файл - не комильфо! Представьте, что через 2-3 года там будет 10000 тестов, это же файловый ужас!!!

Можно хранить php-обработчик в базе данных, но это значит использовать eval. А везде где только можно пишут, что использовать eval крайне не желательно. Что же делать? Возможно, Вы решали подобную задачу? Если да, то как Вы поступили? Если нет, то какие есть идеи по этому поводу? Насколько плох eval? Были ли у Вас проблемы при использовании этой функции в реальном проекте?

Answer 1

[Сергей]

В целом хранить PHP-код в БД не корректно. MODx, например, страдает этим. Я не знаю куда смотрели авторы.

Корректно хранить данные, опираясь на которые скрипт может менять логику своего поведения.

Answer 2

[Виталий Желтяков]

Хранить код в БД - извращение.

Comments

[artemev]

Согласен. В данном конкретном случае, что можете посоветовать?

[Виталий Желтяков]

@artemev Используйте стандартную "гибридную" связку базы и файлов. То есть функционал теста (код) помещаете файл и даёте этому файлу название равное id записи данного теста в базе. При поиске теста вы работаете с базой, а при его запуске просто проверяете наличие файла (или лучше считываете нужный файл, если все тесты будут в файлах)

Answer 3

[Сергей]

Напишите свой DSL который будет заточен под вашу задачу и храните код на DSL где вам угодно.
Например чтобы распарсить и выполнить код на DSL можно использовать вот такое:
https://github.com/loguntsov/jison/tree/php-port/p... - генератор парсеров на PHP.

Comments

[Сергей]

DSL может выглядеть вот так:
!ОТЧЕТ "ТЕСТОВЫЙ ОТЧЕТ"
!ПО ГЕО
!ВЫЧИСЛИТЬ
ТЕСТОВОЕ_ПОЛЕ = КЛИКИ.ИД_КАМПАНИИ + КЛИКИ.ИД_ГРУППЫ
[ !НАЗВАНИЕ "Описание тестового поля" ]
!ПОКАЗАТЬ ГРАФИК и ТАБЛИЦУ
КЛИКИ.КОЛИЧЕСТВО [
!ТИП !СТОЛБЕЦ
!ОСЬ !СПРАВА
],
КЛИКИ.ДОХОД,
ЛИДЫ.ДОХОД,
КЛИКИ.ДОХОД_С_КЛИКА,
КЛИКИ.ИД_КАМПАНИИ,
КЛИКИ.ИД_ГРУППЫ,
ТЕСТОВОЕ_ПОЛЕ
!ГДЕ ИД_ГРУППЫ = [[ ГРУППА "Выберите группу:" ]]
!ФИЛЬТРОВАТЬ ТЕСТОВОЕ_ПОЛЕ > [[ ЧИСЛО "Тестовое поле:" ]]
!ИТОГИ !ПО ДНЯМ

может как-то по другому, всё зависит от вашей фантазии :)

[Сергей]

отступы пропали

Answer 4

[GCoda]

Если речь идет о тестах развлекательных где нет необходимости защиты от поддатасовок и мошеничества то можно просто создать кусок кода для клиентской части, никаких проблем с тем что код поломает серверную часть или злоумышленик вставит кусок своего кода в базу через иньекцию в другом месте.

Если отбросить мысль о том что все тесты уведут и сделают сайт клон то можно даже результаты теста передавать клиенту и результаты теста отображать моментально. Уменьшение нагрузки на сервер и увеличиние отзывчивости сайта в итоге.

Итого, я бы не хранил серверный код в базе, если нужны сложные правила для определения результатов и их нельзя сделать с помощью набора требований в сериализированом массиве или как регулярное выражение то я бы это все считал на клиенте.

Comments

[artemev]

Отбрасывать мысли о том, что уведут не стоит. Поскольку уведут однозначно, и, причем, очень быстро. Не вижу смысла долбаться над этим разделом сайта, если через неделю мои тесты (часть из которых авторские) будут на десятках сайтов.

Answer 5

[artemev]

1. Простите, но с DSL не знаком. Что это в двух словах?
2. Согласен, что не корректно, но в данном конкретном случае не вижу другого выхода. Поэтому и ищу совета.

Comments

[Сергей]

1. ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B5%D0%B4%D0%...

[artemev]

Да, я уже нашел, что такое DSL. Честно сказать не вижу смысла создавать отдельный язык программирования для этой задачи. Чем это может помочь? Этот код (для каждого теста) нужно будет тоже где-то хранить. И я опять вернусь к вопросу хранения кода в БД (или в файлах), только это уже будет не PHP, а DSL.

Answer 6

[Waliter Irlandec]

Я бы сделал подобие схемы через массив для каждого файла и его уже, JSONом например, в БД.

Comments

[artemev]

Но этот тот же код только в обертке, насколько я понимаю. Чем это лучше?

[Waliter Irlandec]

нет, например:
Для test_1 будет array() - значит просто складываем
Для test_2 будет
array(
[1] => array([A] => 5, [B] => 3),
[2]=>array([A] => 3, [b] => 7)
etc..
)
И хранить парсенное значение в БД
Только структуру оптимизировать под конкретные запросы

[Waliter Irlandec]

ну и проверять, если для данного теста есть инфа, пробегаться по результатам тестирования и подставлять нестандартные значения

[artemev]

Это не подойдет. Есть сложные правила интерпретации тестов. Что-то вроде:
-если набрано от 20 до 30 баллов и на вопрос №2 дан ответ А, то сделать то-то

[Waliter Irlandec]

аа)
Ну тогда не знаю, думал там простая зависимость.
Всё равно бы измудрялся с схемами, наверное, просто кондишены продумал.

[Waliter Irlandec]

Так в одной CMS реализована система скидок (в других не знаю как), кучу условий (если цена больше, из такой то страны, и бла бла) и там так же реализовано.

[Сергей]

@artemev разберитесь же с DSL.

Answer 7

[Александр Литвинов]

как вариант, хранимые процедуры
что мешает выгружать все ответы, а потом подсчитывать на php?

Comments

[artemev]

Почитайте мой вопрос. Я там приводил пример. Если бы все тесты заключались только в суммировании баллов никакой код в БД хранить не требовалось бы.

[Александр Литвинов]

@artemev мне кажется вы усложняете, в чем вообще смысл хранить алгоритмы в базе? это ни разу не удобнее чем в файлах, на мой взгляд. Что это даст?

[artemev]

@Sander_Li да хоть тот же бэкап. Каждый день бэкапить 10000 файлов (и это только раздел тесты) или 1 БД. Или переезд на другой сервер. Что проще перенести 10000 файлов или 1 БД?

И, вообще, мне кажется, что плодить файлы на винте не лучшее решение. У меня по cron-ну скрипт бегает по файловой системе и сохраняет хеши файлов. При повторном забеге он сравнивает текущий хеш с запомненным ранее. Если не совпадают, то файл модифицирован. В общем защита такая. И соответственно чем больше файлов в системе тем дольше он работает и создает бОльшую нагрузку. Для меня это важно.

[artemev]

@Sander_Li чем меньше файлов, тем лучше. Допустим сайт ломанули и оставили бэкдор. Искать его в таком количестве файлов геморрой не малый...

[Arris]

Проще - 10000 файлов :)

[Arris]

@artemev А как насчет сначала проверять дату изменения файла? А если она изменилась - уже проверять хэш. Зачем такие сложности то?

[Александр Литвинов]

@artemev крон что? о_О. О контроле версий не слышали?

[Александр Литвинов]

@artemev что крон, что php в базе в вашем случае - то чего не нужно делать.

[artemev]

@Arris затем, что время модификации файла можно подделать php function touch

[artemev]

@Sander_Li для моего сайта контроль версий не нужен, а то что я описал прекрасно работает. Чем Вам cron не угодил?

[Александр Литвинов]

@artemev для любого нормального сайта нужен контроль версий. Если интересно, могу в личку написать как с помощью него решается ваша проблема. Если уж у меня есть доступ к серверу, что мне мешает изменит скрипт, который запускается через крон? Незнание? Это не серьезно. Не угодил крон из-за производительности и возможно массы ошибок в коде.

[artemev]

@Sander_Li да напишите, а то может я просто не в теме. И еще пожалуйста если не трудно напишите какой системой контроля версий пользуетесь Вы и почему?

[Александр Литвинов]

@artemev Оставьте скайп? я вас добавлю

[artemev]

@Sander_Li я им не пользуюсь :(

[Александр Литвинов]

@artemev По поводу контроля версий - Git.
Каждый репозиторий - и есть резервная копия кода.
Почему git? Он, пожалуй, самый популярный, у него большое сообщество, быстрый и в отличии от svn он является "Distributed version control system". В роли гита вероятно подойдут и другие. И справятся с задачей не хуже.
В концепции гита у вас может быть главный bare репозиторий, желательно на другом сервере, что даст дополнительную защиту. (Самое простое и удобное решение завести аккаунт на https://bitbucket.org). Запретить пушить в bare репозиторий с продакшн сервера. (Это гарантирует, что при его взломе исходный код в главном репозитории не пострадает).
А когда вы захотите узнать изменялся ли исходный код или нет, просто запускаете команду diff и git покажет где, как и когда поменялся код. Также всегда можно будет очень быстро переключиться на версию без вируса из bare репозитория. Если вы хотите получать уведомления при изменении кода, то вот решение.

[artemev]

@Sander_Li большое спасибо!

Answer 8

[SHAKIRA]

Желательно это не делать. Это опасно

Comments

[artemev]

@SHAKIRA почему?

[SHAKIRA]

Код может содержать недопустимые символы, которые для базы не желательны. Так же может не корректно работать

[GCoda]

Код можно и сериализировать, но никаких особых символов там быть не может, ни разу не видел чтобы в базе пропадали какинибудь символы, если не считать чудес с кодировкой, но в данном случае это не актуально

Answer 9

[Алексей Сторожев]

Ну можно ведь не доходить до крайности и не хранить каждый тест в отдельном файле. можно выдумать простенький фреймворк для тестов, пусть это будет для начала один большой класс с методами test_TEST_ID($answersData) и публичным методом solveTest($testID, $answersData) { $this->${test_$testID}($answersData); } . Для тестов с простым ключом там будет просто return $this->simpleTestSolver($anwersData), для сложных - логика. По мере разрастания класса можно будет уже выделить какой-то вменяемый общий код, разбить на подклассы.

Comments

[artemev]

@storoj поймите, что почти каждый тест (если не считать тех, что выдают результат по сумме баллов) требует своей логики обработки. И что мне при добавлении нового теста каждый раз метод в класс дописывать? Очень скоро этот класс будет несколько десятков МБ весить. Да и не удобно это.

[Алексей Сторожев]

Я наверное плохо представляю себе как может быть хранение кода в базе удобнее, чем в исходниках. В базе ничего не отрефакторить, не выделить общего. Не подебажить по шагам. Нет контроля версий. Хуже развертывается. Вот вы еще говорите про бекап - почему вы думаете, что бекап базы это что-то такое простое и легко обратимое? Куда проще зайти на сервер и git clone или даже tar -xzf, чем мучаться с базой. Файловая система это по сути та же база данных, каждый файл это отдельная запись.

[Алексей Сторожев]

При разработке "традиционным" способом у вас хотя бы будет шанс что-то улучшить или изменить, а в случае с базой имхо это дорога в один конец.

[artemev]

@storoj "В базе ничего не отрефакторить, не выделить общего" - про выделить общее не понял, а рефакторить можно. Разницы нет куда/откуда Вы загружаете/сохраняете.

"Нет контроля версий. Хуже развертывается" - что там развертывать? Там максимум что будет (в моем конкретном случае) набор инструкций if...else

[Алексей Сторожев]

вдруг во время написания логики "сложных" тестов вы поймете, что там есть закономерность, общий код, и можно значительно всё упростить, сделав функцию или метод
В обычном виде вам доступны все возможные и невозможные средства разработки, статический анализатор, отладчик. Для БД же нужен будет какой-то особый онлайновый редактор, в лучшем случае с подсветкой. Давно не писал на php, но разве eval покажет ошибку на какой-то строке? Или просто зафейлится?
Мне кажется не надо морочить голову. У вас уже есть одна БД - таблица файловой системы, не стоит тут выдумывать экзотики. Лично я вижу одни проблемы и ни одного плюса от хранения кода в базе.

Answer 10

[Вадим Яковлев]

Если речь о простых кусках кода с макросами, типа

if($answ[1]=='b' && $answ[2]=='c' || $answ[3]=='a' && $answ[4]=='d' ) $summ+=10;

То может и ничего критичного, но вообще лучше хранить упакованное условие, вроде
1:b;2:c|3:a;4:d=10

Comments

[Сергей]

Опять DSL :)

[artemev]

@FrimInc именно о таких "макросах" и идет речь, ничего более сложного не требуется. А как такое условие упаковать и чем потом распаковать и как пользоваться?

[Вадим Яковлев]

@artemev если у вас не очень большие условия и их не очень много - то explode\implode
Иначе - serialize\unserialize, или json - он побыстрее будет.

Answer 11

[Mandor]

- Хранить PHP-код в базе не страшно. Но: 1. исполнять код из БД медленнее чем из файла (нужен как минимум коннект к БД + не очень быстрый eval, как максимум - еще и чтение таблицы с данными с диска), 2. редактировать код из БД обычно менее удобно, чем из файла (будь-то FTP-доступ или SSH), то же самое на счет отладки.
- Eval можете использовать, он для того и сделан, чтобы его использовали тогда, когда надо.
- Если хранить обработчики в файлах или даже добавить к ним и сами тесты никакого файлового ужаса не будет. Просто продумайте структуру заранее. Если вас пугает наличие 10000 файлов в одном каталоге - можно предусмотреть разбивку на подкаталоги, в каждом из которых будет например по 100 тестов. В конце концов как хранят фотки фотохостинги и видео - видеохостинги, не в БД же?!
- Про DSL идея хорошая. Помимо всего остального это поможет снять запрет на редактирование обработчиков тестов только разработчиком сайта.

Comments

[artemev]

@Mandor спасибо, про eval я думаю так же как и Вы. Что касается хранения кода в базе, то я считаю, что в 99.9% случаев это не требуется, но как и во всех правилах в этом тоже бывают исключения. Свой случай считаю как раз таким исключением, поскольку это сильно упрощает дело. Ведь при использовании файлов придется позаботиться о динамическом создании директорий, количестве файлов в каждой директории и т.п. вещи. С базой проще, INSERT и все дела. Кроме того все будет в одном месте, я имею ввиду что тест это одна строчка в базе.

По поводу редактирования кода, то это в любом случае будет онлайн редактор, поэтому откуда загружается код совершенно не важно.

В общем решил поступить так. Сделаю хранение php-обработчиков в базе. Обкатаю это решение в течении пары месяцев. Посмотрю на производительность, удобство и прочее. Если все нормально оставлю как есть, если будут проблемы перейду на хранение обработчиков в файлах (переделать не сложно).

[Алексей Сторожев]

надеюсь никто не сделает по-быстрому
update `testsTable` set `code`="newCode"
превращая все тесты в один

[artemev]

@storoj надеюсь нет :)