Виктор Кожухарь

Не мучайтесь. Берите докер.

Вот обычная команда для запуска контейнера. Контейнер запустится в фоне и будет автоматически перезапускаться при остановке или перезагрузке хоста.

docker run --detach \ # Запускаем контейнер в фоновом режиме
  --publish 443:443 --publish 80:80 --publish 22:22 \ # Открываем порты. Можете поставить те, что вам нужны, если эти уже используются где-то
  --name gitlab \ # Имя контейнера
  --restart always \ # Перезапускать контейнер при его остановке или перезагрузке
  --volume gitlab_config:/etc/gitlab \ # Подключаем том для конфигурации
  --volume gitlab_logs:/var/log/gitlab \ # Подключаем том для логов
  --volume gitlab_data:/var/opt/gitlab \ # Подключаем том для данных
  --shm-size 2gb \ # Устанавливаем размер разделяемой памяти
  gitlab/gitlab-ee:latest

Или же можете использовать docker-compose.yml файл и запускать, находясь в этой же дириктории, через:

docker compose up -d

version: '3.6'
services:
  web:
    image: 'gitlab/gitlab-ee:latest'
    container_name: gitlab
    restart: always
    ports:
      - '80:80'
      - '443:443'
      - '22:22'
    volumes:
      - 'gitlab_config:/etc/gitlab'
      - 'gitlab_logs:/var/log/gitlab'
      - 'gitlab_data:/var/opt/gitlab'
    shm_size: '2gb'

volumes:
  gitlab_config: {}
  gitlab_logs: {}
  gitlab_data: {}

Если докер у вас свежий и будет ругаться на наличие 'version', то просто удалите строчку с version

Чтобы узнать начальный пароль, выполните:

docker exec -it gitlab grep 'Password:' /etc/gitlab/initial_root_password

На первом скрине, похоже, атака через "Stacked Queries". Хацкер надеется, что вы не отфильтровали входящие данные.

Допустим у вас из бройзера приходит ID товара. И в программе запрос:

SELECT * FROM products WHERE productid={нефильтрованный ID};

Хакер отправляет вместо ID товара следующее:

1; SELECT pg_sleep(25)

В результате получится запрос:

SELECT * FROM products WHERE productid=1; SELECT pg_sleep(25);

И ваш сервер при каждом таком запросе будет спать 25 секунд. И порядочное количество таких запросов в случае удачи атаки смогут повесить вам там всё.

То, что он продолжает долбиться, ничего не значит. Он, наверняка, использует какого-то бота, где накиданы в кучу различные векторы атаки, и они все применяются, пока ваш сервер не упадёт в результате срабатывания какой-то из них.

Делать рендеринг VUE на сервере, используя Go, это задача не для слабонервных. Вы можете как-то присобачить гошный JavaScript рантайм и пытаться его использовать для рендеринга VUE, но я и врагу такого не посоветую

Вот вам рантайм, написанный на чистом Go:
https://github.com/dop251/goja

Я не специалист в SEO, но где-то слышал, что поисковики научились индексировать SPA.
НО!!!

1. Это не точно) И вам надо провести мини исследование. Найти какие-то популярные SPA сайты и поглядеть архив Гугла и Яндекса по ним.

2. Если это работает, то самое главное, что вам нужно усвоить, это то, что каждый чих должен отражаться в URL. History API должен стать вашим всем. Выбрали какую-то сортировку или фильтр таблицы с данными или списка статей? Всё это должно ОБЯЗАТЕЛЬНО отражаться в URL, как если бы вы писали какой-то традиционный сайт на PHP. Только в этом случае вам можно надеяться, что контент хоть как-то будет проиндексирован. Это, кстати, даст вам ещё одно преимущество: вы сможете без последствий нажать кнопку перезагрузки страницы, и её содержимое не должно измениться.

3. Умение сказать заказчику НЕТ, одно из важнейших умений программиста. Пусть он взвесит на весах SEO и Go, и примет решение. Запросите у него космические деньги за сервер-рендеринг на Go, либо скажите, что можно гораздо дешевле сделать это на Nuxt.

Либо можно пойти на компромисс, и сделать на Nuxt только лишь тупую мини-прослойку между фронтендом и основной бизнес-логикой, которая будет реализована в отдельном сервисе на Go

- Если вы работаете исполнителем на стороннего заказчика, то переложите ответственность за выбор метода на него. Чтобы он сам отвечал, если что-то в будущем пойдет не так. Перед этим его желательно убедить, почему именно самый дорогой метод лучше дешевых.

- Если вы работаете в команде, все такие решения необходимо принимать, исходя из того, что ваша команда умеет, с чем вам проще и эффективнее работать. И тогда активно убеждать заказчика в выборе этого метода.

- Во всех остальных случаях я предлагаю сперва задать себе вопрос: "А с какой целью я делаю этот проект?"

В подавляющем большинстве случаев ответ будет "хочу заработать денег". Это и должно определять все ваши решения.
1. Чтобы проект зарабатывал деньги, он должен быть на рынке. Т.е. он должен работать. Это значит, что скорость разработки - один из важнейших факторов, ведь ту небольшую нишу, куда вы целитесь, может раньше занять кто-то более расторопный. Тут побеждает CMS с модификацией готовых тем и кучей готовых модулей на все случаи жизни.

2. Хорошенько распланируйте проект на логические подзадачи. Проанализируйте, какие есть инструменты для решения каждой из этих задач. Возможно, какая-то CMS, фреймворк, библиотека, либо даже язык программирования помогут вам решить данные конкретные задачи наиболее быстро и эффективно.

3. Не задумывайтесь сильно о качестве кода. Вам всё равно предстоит сильно переделывать проект в будущем. Если вашу задачу по зарабатыванию денег решит один единственный файл index.php, то и наплевать на всё остальное. Совсем говнокодить, конечно, не надо. Ваша задача сделать код максимально простым и понятным. Чтобы через несколько месяцев вы, только взглянув на участок кода, сразу понимали бы, что там происходит. А то бывает, напишешь настолько изящную систему типов, монады, рекурсии, чистые функции, отложенные вычисления, разобьешь код на функции по три строчки каждая, приправишь это всё DDD, чистой архитектурой, SOLID, DRY и прочим, а потом целый день разбираешься, почему не можешь поменять цвет кнопки с красного на синий...

Мораль: Да, инструмент всегда нужно выбирать под конкретную задачу. Но если вы, забив шуруп в доску микроскопом, обнаружите, что размера вашего кармана не хватает для потолстевшего кошелька, то можете смело плевать в лицо тем, кто будет вас осуждать за такое решение...

Как человек, который в своё время так переусложнял код, что потом сам не понимал, что и где в проекте происходит, посоветую вам использовать самый лучший принцип на свете - "KISS"

Поэтому, ничего сложного пока не выдумывайте, поверьте, вы всегда сможете потом всё усложнить)))

Я бы сделал так:

• В контроллере сериализуем JSON в DTO ( можно вообще вот так https://symfony.com/blog/new-in-symfony-6-3-mappin... )
  
• Далее создаёс сервис, который будет нашим маппером, и который будет иметь 2 метода "fromDtoToEntity" и "fromEntityToDto", и он будет заниматься всеми преобразованиями туда-сюда.
  
• В этом маппере пишем наитупейшую логику, как вы и писали $user-setAge($DTO->getAge());
  
• Отдаём клиенту ответ из контроллера
  

Этот вариант максимально прозрачен и сильно сэкономит вам время при дебаге, потому что вы в два клика сможете найти всю логику.

Go не любит лишних усложнений. У языка такая философия.
Вы ведь всё равно все ошибки держите в одном пакете, т.е. они всё равно в одной куче с точки зрения программы. Почему бы тогда вместо папок не использовать просто файлы? Т.о. плоская структура с именами файлов вместо папок будет соответствовать вашим нуждам.

err.go
account.go
auth.go
json.go
registation.go

Это может быть оверкилл, но попробуйте библиотеку joint.js, которая помогает создавать подобные диаграммы.
Она создаёт интерактивные диаграммы, но если там есть возможность их зафиксировать, то вы сможете быстро сделать ту самую адаптивную диаграмму, что вам нужна.

https://github.com/clientIO/joint

Примеры:
https://codepen.io/jointjs

Вот вам готовая простейшая очередь в виде объекта без всяких переборов:

class Queue {
  constructor() {
    this.items = {};
    this.front = 0;
    this.rear = 0;
  }
  enqueue(item) {
    this.items[this.rear] = item;
    this.rear++;
  }
  dequeue() {
    const item = this.items[this.front];
    delete this.items[this.front];
    this.front++;
    return item;
  }
  peek() {
    return this.items[this.front];
  }
  get size() {
    return this.rear - this.front;
  }
  isEmpty() {
    return this.rear == 0;
  }
}
const queue = new Queue();
queue.enqueue(1);
queue.enqueue(2);
queue.enqueue(3);
queue.enqueue(4);
queue.enqueue(5);

console.log("Объект очереди: ", queue);

const removed_element = queue.dequeue();
console.log("Обработанный (удаленный) элемент: ", removed_element);

console.log("Объект очереди:", queue);

const top_element = queue.peek();
console.log("Текущий элемент очереди для обработки (без удаления): ", top_element);

const queue_length = queue.size;
console.log("Размер очереди: ", queue_length);

У вас открывающих тегов "<?php" 28 штук, а закрывающих "?>" - 29 штук. Один из ваших открывающих тегов укороченный "<?" (строка 155).  Я не знаю, какая у вас сейчас версия PHP и какая настройка по поводу коротких тегов, но рекомендую короткие открывающие теги не использовать.

Плюс рекомендую исправить ошибку, два раза закрываете один и тот же тег


А еще всегда попробуйте везде добавить пробел перед вопросом в закрывающей конструкции "?>".
Очень часто именно это является проблемой

Обратите внимание на конструкцию for.
Вы не замечаете, что выражения между скобками разделены не запятой, как, например, в аргументах функции, а точкой с запятой?

Так создатели языка как бы намекают нам, что тут что-то не так, как обычно, что эти выражения выполняются в разное время, на разных этапах прохождения цикла.

Уяснив этот момент, можно пойти в документацию, прочитать там все, а особенно обратить внимание на табличку, где расписано, когда именно выполняется каждая составная часть цикла for. И тогда вам всё станет гораздо понятнее.
https://learn.javascript.ru/while-for

Советы:
1. Всегда читайте документацию, если вам что-то не понятно в конструкциях языка. Не туториалы от балбесов с Ютуба, а документацию. И желательно оригинальную на английском, потому что переводчики иногда такие же балбесы.

2. Не используйте никаких циклов, кроме for. Он очень мощный и позволяет реализовать функциональность и while и do-while. Так вы убережёте себя от таких ситуаций. Я за много лет работы понял, что большое количество конструкций языка скорее вредно, чем полезно.

Если у вас уже устойчивый бизнес, приносящий твердый доход, вы точно знаете, что за инструмент вам нужен, точно знаете, что этот инструмент принесёт вам ощутимую дополнительную прибыль (не обязательно в ближайшее время), то не стоит обращать слишком большое внимание на его исходную стоимость. И в этом случае нужно брать исключительно первый вариант. Почему? Потому что тут важно не изначальное создание сервиса, а его грамотная и ответственная поддержка. Я вас уверяю, что у вас не получится сразу создать идеальное решение, потому что практически всегда после изначального создания продукта появляются подводные камни, с которыми надо как-то бороться. И пусть с ними борются ответственные люди, которые проект создали. Это будет быстро и качественно.

Если же вы хоть немного сомневаетесь в том, будет ли этот сервис приносить вам прибыль, или сомневаетесь в том, какие из функций вам действительно нужны, какие вредны, а от каких можно отказаться, то вот тут можно сэкономить, создав сервис в режиме чуть ли не "прототипа" за недорого. Если вы увидите, что он работает, начнёт приносить какую-то дополнительную прибыль, то уже из этой прибыли вы сможете выделить средства на то, чтобы переписать его с нуля, либо основательно развивать уже с более ответственной и профессиональной командой. А если он окажется не прибыльным и без перспектив, то вы не потеряете очень много денег, отказавшись от него.

private VerifyEmailHelperInterface $verifyEmailHelper,

Вам на будущее: было бы неплохо, чтобы вы показывали нам чуть больше кода, чтобы не приходилось подключать дедуктивный метод для нахождения улик.

Судя по запятой в конце строчки, свойство $verifyEmailHelper объявляется сразу в конструкторе. А "Constructor property promotion" появился только в версии PHP 8.0

Поэтому, если версия PHP ниже, появляется подобная ошибка.

Согласен с обоими ответившими. Дополню, как конкретно я бы сделал.

Я бы сделал переход более наглядным, чтобы можно было очень быстро посмотреть в каком состоянии на текущий момент наш переход на новую систему.

Можно, например, для нового хеша завести новое поле в базе с дефолтным null.

Когда юзер пытается залогиниться своим паролем, смотрим, если в новом поле null, то проверяем аутентификацию по старой схеме, но генерируем новый хэш по новой схеме (password_hash), записываем его в новое поле.
А если в новом поле уже не null, то, значит, пользователь уже на новой схеме, и продолжаем аутентификацию уже с новым хэшем (password_verify).

Таким образом, имея два поля, нам будет очень легко увидеть всех, кто ещё не перешёл на новую схему. Мы сможем в дальнейшем, после окончания запланированного периода перехода, информировать таких пользователей, что они обязаны до какого-то определенного времени войти в систему, иначе им придется пройти заново процесс создания нового пароля.

После этого надо будет полностью перейти на новую схему, удалив старый код и старые хэши, чтобы не оставить ни малейшей возможности злоупотребления.

Да, и не удаляя сразу данные из старого поля, мы всегда сохраняем возможность вернуться на старую схему, если вдруг обнаружили какую-то дыру в безопасности нашего нового метода.