Comments on: Безопасность, о которой все так много говорят…

By: Vladimir

Vladimir — Fri, 21 Nov 2008 01:23:12 +0000

Еще одна статья по теме: Как не нужно интегрировать платёжные системы

By: Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis

Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis — Fri, 21 Nov 2008 01:19:33 +0000

[...] а румынец из компании SurgeWorks) могу сказать следующее: никогда не доверяйте данным, которые пришли от пользов…. Лень (и непрофессионализм) в этом случае могут [...]

By: DimoninG

DimoninG — Sat, 13 Sep 2008 10:47:51 +0000

Честно, про подделку типа файла не думал.
Был уверен, что PHP лезет в файл, смотрит, что там, а потом выдает mime ))) Я был наивен, исправился.

Про плагин к ОгнеЛису - тоже спасибо, опять же не слышал о таком.
Ух, и интересно же все это )))

By: SaltyDog

SaltyDog — Tue, 15 Jul 2008 23:16:23 +0000

Повторил финт ушами. Покатаюсь по каталогам, ломать не буду

By: Vladimir

Vladimir — Tue, 15 Jul 2008 23:03:20 +0000

Это какая-то хитрая функция, которая изменила 123 на 5?

Спасибо, поправил…

а ребята вообще забавные, даже файл твой не удалили

Да забили они на сайт, они деньги с AdSense получают (кстати, Google AdSense забанил меня именно за эту статью); видимо, им этого хватает.

By: SaltyDog

SaltyDog — Tue, 15 Jul 2008 22:57:31 +0000

а ребята вообще забавные, даже файл твой не удалили

By: SaltyDog

SaltyDog — Tue, 15 Jul 2008 22:49:56 +0000

$id = $_GET['id']; $query = “SELECT * FROM {$members} WHERE id = $id LIMIT 1″;Всем хорош код, когда $id — это число. Например, если скрипт был вызван "script.php?id=123“, то запрос принял бы следуюший вид:SELECT * FROM members WHERE id = 5 LIMIT 1

Это какая-то хитрая функция, которая изменила 123 на 5?

By: Vladimir

Vladimir — Tue, 15 Jul 2008 21:41:36 +0000

Разработчики забили на свой продукт. Я им даже решение постил. Метод страуса - не лучший метод защиты.

By: cyberquoter

cyberquoter — Tue, 15 Jul 2008 21:35:26 +0000

Ктож такие вещи в паблик выкладывает, да еще и с линком на список “жертв” до принятия мер со стороны разрабов?
Чего уж там про SQL-инъекции говорить, когда еще не все про XSS забыли (по некоторым оценкам Searchengines, число дырявых сайтов ~5-6%)

By: Vladimir

Vladimir — Sat, 15 Mar 2008 13:43:20 +0000

Update: несколько дней назад я предупредил владельцев сайта Article Dashboard о том, что их ПО (а также то ПО, которое они распространяют) уязвимо. Ответа от них не последовало. Что же, отсутствие ответа — тоже ответ. Но вот только решение проблем безопасности страусиным методом еще не разу себя не оправдывало.