- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Зингельшухер, пустой спор, давайте закругляться. Каждый все равно останется при своем мнении.
пустой спор
Спор пустой, а вопросы реальные
приведите пример "опасных" данных
Пока я не увижу примера опасных данных буду считать что этот "пустой спор" выиграл я !!!
Так вот о чём и речь что вам это понятно а автор топика предлагает просто фильтровать ВСЕ данные и только потом уже с "безопасными" данными работать !!!
Уважаемый Зингельшухер,
может быть я и слегка чересчур резко выразился, но ведь именно Вы начали неконкретные наезды, и мне пришлось дать отпор :p
Что касается спорного вопроса о фильтрации ВСЕХ данных - конечно, данная схема несколько утрирована. Может, вы захотите постить у себя на форуме листинги кодов - в таком случае, конечно, фильтровать на входе все тэги и операторы было бы бессмыслицей. Но это - частный случай, и к нему подход нужен особый. В общем же случае, например если у вас на сайте нет форума, или есть форум - но не для программеров, а для микробиологов, то фильтрация всех входящих тэгов и спецсимволов нисколько не помешает, а наоборот, защитит сайт от вероятного злонамеренного кода.
+1 к Зингельшухер, dkameleon :)
Все "дыры" в веб-приложениях происходят не потому что нет защиты, а потому что программист совершил ошибку. Поэтому каждый раз когда идет речь о "защите" сайта мы несколько настораживаемся, ибо код без ошибок защищать не надо и при прочих равных лучше потратить время на исправление ошибок, а не надстройку "защиты"
Нда, и к этому следует добавить, что программ БЕЗ ОШИБОК в природе не существует как таковых - факт известный и старый как мир :) Даже если какой-нибудь дотошный программер и вылижет свою прогу так, что не останется ни одной явной ошибки, то при доработке данной проги впоследствии тем же программером или, что еще хуже, другими программерами - обязательно наворочают в апгрейд коде такого, что хоть стой хоть падай... Это тоже известный в профессиональных кругах факт.
Так что стоит быть ближе к реальности и не предлагать защищать приложение только идеальной реализацией кода. Ошибки все равно будут. В то же время, грамотная фильтрация входящих данных (в пределах не ущемляющих функционал приложения - еще раз замечу, чтобы не раздражать Зингельшухера :)) позволит обеспечить требуемый уровень защиты приложения, сниженной за счет возможно некорректного кода.
Это тоже известный в профессиональных кругах факт.
Но это всё не аксиома а статистика, и вот в этом твоя ошибка..
99% РНР движков, (особенно платных) не тестируются вовсе, потому что их выпуск контролируется не программистами а коммерсантами... (все помнят платформу .NET реклама которой была запущена до того как эту платформу начали разрабатывать)
Справедливости ради могу сказать что 99% бесплатных движков также не тестируются и имеют дыры, но это потому что тестирование сваливается на плечи пользователей.
Единственный возможный способ обеспечить требуемый уровень защиты это грамотное планирование кода, а также гибкий код и доскональное тестирование.
Нда, и к этому следует добавить, что программ БЕЗ ОШИБОК в природе не существует как таковых
Взломай (причём используя дыры не сервера а именно дыры скрипта)
Как только взломаешь дай мне знать, а до тех пор я покидаю этот топик...
Взломай (причём используя дыры не сервера а именно дыры скрипта)
Как только взломаешь дай мне знать, а до тех пор я покидаю этот топик...
Детский сад, Зингельшухер, просто детский сад :p
Речь здесь о веб-приложениях, сложных комплексных системах, а не о вырванных из контекста единичных строчках кода :)
Попробуй проникнуть в дом, состоящий из одного кирпича. Пока не сделаешь, пожалуй в этом топике, действительно, не появляйся :)
Справедливости ради могу сказать что 99% бесплатных движков также не тестируются и имеют дыры, но это потому что тестирование сваливается на плечи пользователей.
Ага как же....Тогда бы наверно ни одного интернет магазина не осталось в живых, у всех бы бизнес рухнул..из за кражи данных, товаров и т.д...
Единственный возможный способ обеспечить требуемый уровень защиты это грамотное планирование кода,
Чем проще тем лучше - золотое правило, чем меньше код тем меньше ошибок будет.
Ни одного и не осталось http://php.ru/forum/viewtopic.php?t=4557
Попробуйте установить первые версии любого движка и вас сломают через час после того как увидят.
Чем проще тем лучше - золотое правило, чем меньше код тем меньше ошибок будет.
Правило золотое, но не всегда программисты решают что и как писать, чаще всего это делают комерсанты, а учить программирование у них нет ни времени ни желания...
Ни одного и не осталось
А это что ?
http://www.google.com/search?q=shop+online&rls=com.microsoft:ru:IE-SearchBox&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7GGLG
чаще всего это делают комерсанты, а учить программирование у них нет ни времени ни желания...
Что за бред вы говорите. Комерсанты для того и комерсанты чтоб платить деньги . Комерсанты платят деньги программистам !!!
А это что ?
И у всех кто в гугле стоит версия 1.0 ?
Комерсанты платят деньги программистам !!!
Именно так, и программисты предлагают им выбрать 2 пункта из 3-х
1 - дёшево
2 - быстро
3 - качественно
и они выбирают пункты 1 и 2 потому что думают что "качество" это только то что внутри скрипта и что этого никто не увидит. (о том что такое безопасность они вообще не имеют понятия)