Я вот приведу пример. Моей сестре нужен был сайт. Год назад я взялся за его разработку. Сверстал с дизайнерского макета, кроссбраузерно, картинки нарезал спрайтами. Сделал красивую анимацию. Сайт был презентационный. Все оки-доки. Начал писать клиентскую часть и админку. Но потом у меня началась сессия и учеба. Помимо этого я работаю на постоянке и у меня несколько личных проектов. Времени стало катастрофически не хватать. А сестре сайт был по-прежнему нужен. Она обратилась в фирму (как и все фирмы та понтовалась своими успехами и профессионалами). Я передал свои наработки в фирму. Потом, как оказалось, там всего один программист. И разработка затянулась на полгода (сайт до сих пор не сдан толком - ошибок дофига). И каково же было мое удивление, когда я открыл по его версии финальный сайт, с новой верстой (кроссбраузерность не проверял). Частично была задействована моя, частично новая. Картинки , никаких спрайтов, никакой анимации. Естественно, все посажено на движок и ручками сделано минимум. Программист использует чужой паблик софт и даже не гуглит, какие ошибки в нем есть. Пофигизм - поставил, продал и забыл. Поверхностный анализ сайта - и я тут же нахожу, как получить доступ к консоли сервера. Хотя этот чувак сделал сайт на codeigniter, но пароли в открытом виде =\
Kreker Звиздец на... Руки оторвать и в землю тело закопать. У меня ща работа с бабосом, жопа в мыле блин, логи, проверки, пароли по 30 символов и седые волосы. КАЙФ!!!!!
http://94.198.240.184/downloadp4/38...2/736564/letitbit.net/109.205.249.67/pojs.rar Бесплатно нигде не нащел Попова,поэтому если хотите почитать на высокой скорости про JQuery по Попову-этот линк я смс отправил по дорогой цене,эта ссылка еще 10 дней как работает,так что качайте с летитбита за моё смс
goshale Попов сам ничего не знает и научить ничему хорошему тоже следовательно не может. Об этом весь топик
Передали программисту мое обращение с указанием уязвимостей. Он пошутил, чтобы я к ним работать приходил. лол.
Таков уж акулий оскал капитализма, чем выше конкуренция, тем ниже цены. То что профессионал будет делать за одну цену, "поповщик" сделает в 2-3 раза дешевле. Обыкновенная экономика. И это хорошо, конкуренция помогает развиваться. Слабые отсеиваются, сильные становятся еще сильнее.
На одном форуме холиварю на тему "безопасности", так там один мега-спец утверждает что надо mysql_escap-ить все данные не зависимо ни от чего (не важно в базу данные пойдут, или в PDO который сам что надо "эскейпит", аргумент простой "безопасности мало не бывает") вот думаю, поповский клиент, или просто "альтернативно одарённый"... Не поверишь, наоборот, сильные переходят на Java/C# (чтоб с голоду не подохнуть, ибо никто их при таких дешёвых конкурентов не нанимает) а на РНР "поповщина" процветает и обогащается, вот прикол то в чём...
поступаю аналогично, особенно в языках без жесткой типизации. Написал фунцию собирающую запрос из параметров, которая автоматически сама все эскейпит, без разницы какой тип передаваемых данных в запросе был задуман кодером. Выделенное - главное. То, что ты не эскейпишь данные "тут" потому что "тут" должно быть число - это лишь твои фантазии. Там может оказаться строка (потому что дырявость она у всех есть, в большей или меньшей степени, иначе самого понятия inj как взлома небыло), пхп даже не пикнет о смене типа, и будешь ты не только в запрос смотреть, но и еще кучу мест проверять откуда данные в него идут. Приходит с опытом.
Даже когда в скрипте не используется mysql ? Или используются либы которые сами эскейпят ? Я был о тебе лучшего мнения... Elkaz о тебе тоже, но тебе по возрасту можно, ты ещё подрастёшь... ЗЫ Данные надо обрабатывать не в зависимости откуда они пришли, а в зависимости куда они уйдут ! © dark-demon
real эскейпом не заискейпишь, а просто эскейпом или адслашем можно (хотя и не нужно, для этого есть "волшебные кавычки")
Vladson Думаю, надо отдельный топик завести для холивара: "escape_string VS real_escape_string VS addslashes VS magic quotes"
Vladson речь шла об mysql_escap* поэтому для мускла в запрос нужно использовать фунцию специально для этого разрабаотанную - mysql_real_escape_string()