Разработка CMS

Здраствуйте!
Перед заказом решил все же проконсультироваться.

Ситуация заключается в том, что мне нужно заказать разработку системы управления сайтом. Разработка будет проходить в несколько этапов, т.е. для начала нужно чтобы набор функций был минимален, т.е. редактор страниц, чтобы я мог добавлять удалять страницы сайта и соотвественно наполнять их, потом чтобы был "шаблонизатор", назову его так, т.е. к примеру создаю я два шаблона и при создании страниц я определяю для них один их этих шаблонов, форма обратной связи, обычная, чтобы человек написал свои данные, текст, ввел капчу и отправил мне на почту сообщение, и технический каталог файлов, т.е. исключительно чтобы к примеру мне нужно написать статью с картинкой, я картинку загружаю в этот каталог и просто копирую ссылку.

В последующем, набор функций в кмс будет увеличиваться, и нужно чтобы этот же человек (тк он пишет с нуля) и продолжал работать, т.е. скажем так долгосрочное сотрудничество. В будущем к примеру нужно будет прописать к этой кмс модуль блог, к примеру, галерея.


Вопрос: каковы примерные расценки на разработку первоначального этапа кмс? т.е. редактор страниц, форма связи, шаблоназитор и файлы.

И вопрос по поводу безопасности - при разработки кмс разработчик учитывает хотябы базовые параметры безопасности? По сути это ведь его основная обязанность при разработке КМС ?

Вы озвучили элементарные задачи, зачем для них использовать самописную CMS, когда есть масса готовых, нуждающихся только в незначительной правке?
Дальше, создавать муху и впоследствии превращать ее в слона - это не совсем практично. Это все равно, что к примеру допиливать Вордпресс для создания на нем корпоративного портала. Не делается так, нужно сразу продумать все необходимое и сразу делать полнофункциональный сайт, в крайнем случае создавать основу таким образом, чтобы ее можно было расширять.

Цитата ("avanesov89"):

Вопрос: каковы примерные расценки на разработку первоначального этапа кмс?

Ну я думаю сумма будет порядка 500$ плюс минус на начальном этапе - минимальный функционал.
Но выше вам правильно говорят - не стоит так делать. Возьмите готовую CMS для этих минимальных задач.

Вы во-первых переплачиваете, во-вторых как только ваш программист куда-то исчезнет вы сразу окажетесь в очень неловком положении и вам будет очень непросто найти человека даже для того, чтобы сделать банальные правки. Т.к. никому не хочется разбираться в чужом коде.

Как вам сказали лучше использовать готовые движки. Самописные нужно использовать для специфических проектов, где проще написать своё, чем переписывать весь движок.

Действительно, я вижу что Joomla прекрасно справится с Вашими требованиями. На ней и каталоги, и формы, и шаблоны можно делать в любой степени. Не говорю уже и о более 10 000 имеющихся на официальном сайте расширений под любые задачи.

Взять например связку Joomla + Seblod = бесконечные возможности.

Лучше взять MODx. Joomla более сложна и неповоротлива, управление контентом и доступом к нему хуже, диапазон кастомизации у MODx шире (это все таки скорее CMF чем CMS).

Не согласен с вышесказанными.
Зачем Joomla, WP и т.п, если требуется лишь минимальные (допилить, домилить и т.д.... зачем? ). Все равно останется МНОГО мусора, которые никогда и не будут нужны. Кроме мусора еще и запутанная аднинка и много не нужного в админ панели.

Думаю имеет смысл написать.
Еще и другой вопрос.

Например взяли Joomla x.x..
Разработали.. Когда то выявилось критичная уязвимость. А клиент совсем не разбирается в обновлениях и т.д.
Тем самым он становится жертвой: Злоумышленника + умный поиск в Google.

В самописе важно тщательно фильтрировать входящие данные, не писать мусор, делать только необходимое. Скрипт сам по себе по структуре и иерархии не знаком злоумышленнику, что затрудняет его шаги.
Защита: например доступ в админ-панель(основное место многочисленных операций над сайтом) по IP, по распознанию самого клиента(схем очень много).


Цитата ("Hungry_Hunter"):

Ну я думаю сумма будет порядка 500$

За шаблонизатор, модульная система (возможность далее сделать API), поддержка нескольких дизайнов, плюс указанные модули статик, новости, фидбек - за 500$ ?

Цитата ("PerfectoWeb"):

Не согласен с вышесказанными.
Зачем Joomla, WP и т.п, если требуется лишь минимальные (допилить, домилить и т.д.... зачем? ). Все равно останется МНОГО мусора, которые никогда и не будут нужны. Кроме мусора еще и запутанная аднинка и много не нужного в админ панели.

Думаю имеет смысл написать.
Еще и другой вопрос.

Например взяли Joomla x.x..
Разработали.. Когда то выявилось критичная уязвимость. А клиент совсем не разбирается в обновлениях и т.д.
Тем самым он становится жертвой: Злоумышленника + умный поиск в Google.

В самописе важно тщательно фильтрировать входящие данные, не писать мусор, делать только необходимое. Скрипт сам по себе по структуре и иерархии не знаком злоумышленнику, что затрудняет его шаги.
Защита: например доступ в админ-панель(основное место многочисленных операций над сайтом) по IP, по распознанию самого клиента(схем очень много).

Так а кто ему даст гарантию, что этот писака не создаст в неуязвимости решето? Думаю на популярной CMS будет меньше дыр, чем на CMS какого-то студента.

Цитата ("Bob301"):

чем на CMS какого-то студента.

да, знать нужно у кого заказывать. в принципе это не совсем трудно, та же схема по которой фрилансер на 95% может определить каким будет заказчик после парых слов..

Еще и понимаете есть такая фишка.
Есть достаточно известные и очень мега-популярные CMS верно?

Возьмем примеры нескольких крупных сайтов: sony, nokia, apple - их же тоже можно на какой то КМС сделать, и написать куча модулей и т.д. для прихода в нужный вид.
Так почему они самописны?

А) они были ранее?
пример не давних компаний: exness.com (не стал долго искать..)
Б) имидж?
так что же это?

Думаю в первую очередь необходимо не задавать вопрос "нужно" или "не нужно".
А подумать "зачем нужно?"

У таких компаний есть хорошие программисты и им проще написать самописный сайт исходя из требований руководства, чем переписывать движок, т.к. CMS как все знают всегда в чем-то ограничивает.

Цитата ("Bob301"):

Цитата ("PerfectoWeb"):

Не согласен с вышесказанными.
Зачем Joomla, WP и т.п, если требуется лишь минимальные (допилить, домилить и т.д.... зачем? ). Все равно останется МНОГО мусора, которые никогда и не будут нужны. Кроме мусора еще и запутанная аднинка и много не нужного в админ панели.

Думаю имеет смысл написать.
Еще и другой вопрос.

Например взяли Joomla x.x..
Разработали.. Когда то выявилось критичная уязвимость. А клиент совсем не разбирается в обновлениях и т.д.
Тем самым он становится жертвой: Злоумышленника + умный поиск в Google.

Дыр больше но ломать никто не будет (кроме школьников). А Jooblу и ей подобные ломают вполне серьезные ребята.
- это из личного опыта. Мои даже самые кривые скрипты на моей памяти еще никто не взломал зато сайты которые я делал или редактировал на популярной cms ломали много раз.
В самописе важно тщательно фильтрировать входящие данные, не писать мусор, делать только необходимое. Скрипт сам по себе по структуре и иерархии не знаком злоумышленнику, что затрудняет его шаги.
Защита: например доступ в админ-панель(основное место многочисленных операций над сайтом) по IP, по распознанию самого клиента(схем очень много).

Так а кто ему даст гарантию, что этот писака не создаст в неуязвимости решето? Думаю на популярной CMS будет меньше дыр, чем на CMS какого-то студента.

1. Сайты на популярных cms ломаю вомного раз чаще чем самописные, даже если криво написанные
2. Если есть угроза взлома нужен спец по безопасности, а не программист. В любых популярных CMS с последними обновлениями есть множество дыр которые известны в определенных кругах...

Господа, прекращайте оверквоттинг. Не надо цитировать сообщения полностью, и тем более цитировать полностью сообщения, которые цитируют полностью сообщения.

Gritskif, Все относительно.
Цитата ("Gritskif"):

2. Если есть угроза взлома нужен спец по безопасности, а не программист.

По вашим словам я так понимаю, что безопасность совсем не его дело, и он должен сделать только для того "чтобы работало" ?

Цитата ("PerfectoWeb"):

За шаблонизатор, модульная система (возможность далее сделать API), поддержка нескольких дизайнов, плюс указанные модули статик, новости, фидбек - за 500$ ?

Ну нет, конечно, основы cms - то что програмится в течении недели Основной каркас скажем так, было написано про добавление удаление редактирование страниц, форма связи, визуальный редактор, возможно шаблонизатор smarty прикрутить если нужно.

Hungry_Hunter, Ну а автор задал вопрос и больше не вернулся =)

Цитата ("PerfectoWeb"):

Еще и понимаете есть такая фишка.
Есть достаточно известные и очень мега-популярные CMS верно?

Возьмем примеры нескольких крупных сайтов: sony, nokia, apple - их же тоже можно на какой то КМС сделать, и написать куча модулей и т.д. для прихода в нужный вид.
Так почему они самописны?

А) они были ранее?
пример не давних компаний: exness.com (не стал долго искать..)
Б) имидж?
так что же это?

С этим не совсем согласен. Многие известные крупнейшие в мире корпорации, в том числе и sony используют к примеру Joomla в своих проектах. Да могу еще кучу примеров привести.

Соглашусь с многими, писать CMS с нуля нужно под специфические проекты, сложные, многофункциональные сайты с большой нагрузкой.
А для простых сайтов вполне можно использовать CMS, главное выбор должен быть оправдан. Не стоит "стряпать" магазин на wordpress/joomla/drupal лучше сделать на opencart/magento - спец движках. Делаете блог - wordpress. Форум - phpbb/smf.
Какая разница какая CMS? Важно то, в чьих она руках!

Цитата ("PerfectoWeb"):

Gritskif, Все относительно.
Цитата (Gritskif):
2. Если есть угроза взлома нужен спец по безопасности, а не программист.

По вашим словам я так понимаю, что безопасность совсем не его дело, и он должен сделать только для того "чтобы работало" ?

Практически - да. Программист не может быть одновременно и спец. по безопасности и программистом - это две разные области. Программист максимум может закрыть 50% общеизвестных "багов" в исходном коде во время разработки. Программист и спец. по без. читают разные книги, статьи, пользуют софт, общаются на разных ресурсах, делают разные вещи, у них разные задачи, спецы по безопасности чаще пользуют С а "программисты" я бы сказал вебмастера используют PHP и ASP...
Практически задача программиста как спеца по безопасности сводится к тому, чтобы закрыть очевидные дыры, чтобы школьники на каникулах на сайте не на гадили

Вот вы как программист часто используете во время выполнения заказа 5-10 утилит для обнаружения бреши в безопасности, ищите в сети сообщения о взломах только, что установленных дополнительных модулей CMS закащику и сами их патчите, делаете апы всем приложениям-серверам на сервере, устанавливаете патчи, у вас есть свои патчи которые залатывают извесные дыры у которых нет еще офиц. пача, тестируете код на поик в нем шелов, бекдоров, делаете так, что заказчику будет приходиться менять все пароли каждые 4 недели и т.п. ? жуть..... я этого не делаю

Gritskif, Все равно не согласен. То что относится к безопасности PHP, по мне это дело программиста PHP. А та защита которая проектируется на серверной части, на интерпретаторном и других - да ответственность не у PHP программиста.

У PHP 5.2.2 (не точно помню) был баг, по которому можно было получить доступ к серверу, естественно данным путем получив информацию сайта - вина не PHP программиста.
Если учесть по вашим словам то, что "это все разные люди" и "каждый должен заниматься именно своей специализацией", то на разработку простога сайта визитку нужно потратить минимум в 4-5 раза больше денег, чем она стоит. Если программист кординально откажется от безопасности, и скажет "вот работает и все, остальное ищите спеца по защите".

Обычно проект строиться в нескольких этапов. У нас лично: "Проектирование" >> "Согласование" >> "Разработка" >> "Тестирование" >> "Бета тестирование клиентом" >> "Сдача"
Даже в таком случае не возможно исключить пропущенные косяки. Но дело совсем не в спеце по безопасности, он тоже может незаметить "кое-что".


Цитата ("Gritskif"):

Вот вы как программист часто используете во время выполнения заказа 5-10 утилит для обнаружения бреши в безопасности, ищите в сети сообщения о взломах только, что установленных дополнительных модулей CMS закащику и сами их патчите, делаете апы всем приложениям-серверам на сервере, устанавливаете патчи, у вас есть свои патчи которые залатывают извесные дыры у которых нет еще офиц. пача, тестируете код на поик в нем шелов, бекдоров, делаете так, что заказчику будет приходиться менять все пароли каждые 4 недели и т.п. ? жуть..... я этого не делаю

Уже написал наверху, процитирую вашу запись. Речь идет о безопасности CMS который будете писать, а не о сервере, или обновлениях Linux, Java и т.п

Цитата ("Gritskif"):

жуть..... я этого не делаю

Почему? Если клиент заказывает например он-лайн обменник валют, не думаю что верный вариант написать модули оплат, выплат и т.д. и сказать готова. Все надо учитывать, учитывать туже самую безопасность.
Даже скажу больше, необходимо иметь понятия каким образом "в не PHP" необходимо еще и защитить, и если данные спецификации (например установка SSL и т.д.) не в ваших услугах, подсказать клиенту, что еще и такое нужно сделать.

Я понимаю тут речь не идет о сайте визитке цветочного магазина. Речь скорее всего идет о крупных проектах, или проектах которые требуют строгую конфиденциальность, ну и еще ряда проектов.

---------
PS: Я с вами согласен в одном, что за 200-300$ никто не будет уделять столько любви и старания к проекту. Но если человек вполне четко настроен на свой проект, знает четко что ему нужно, и прекрасно понимает какие объемы работы наложены на разработку, то думаю стоит не говорить "2000$" а нужно говорить "3500$". Вы знаете что при вопросе "почему 3500" мне тут в другом окне предлагают за "800", вы свободно сможете сказать почему цена такая.