- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Какой-то бред, причём тут верстальщик?
Притом что Smarty.
Говносателиты не хотят использовать смарти ? Есть и другие темплейт движки, в том числе и компилируемые в php в качестве модуля или просто же имеющие функцию песочницы, как у twigs. Но там надо пхп 5.2.
Ах да, хостинг за 1 бакс не станет пересобирать пхп или ставить нормальную его версию , забыл. А быдло кодер за 10 баксов о безопасности тоже не думает, печаль.
Господа, вас реально часто , ну или хотя бы раз, ломали на покупном, обслуживаемом софте ? Сдается мне, что все ваши проблемы с безопасностью идут от от "украл, поставил, и так сойдет".
Stek, +1 кросавчегу.
Программист же думает немного шире. Он думает о производительности, о простоте доработки и поддержки и о.... безопасности
Наоборот, кодер думает о безопасности, программист нет. У хорошего программиста просто нет привычек писать потенциально опасный код (он пишет изначально безопасный код, и о безопасности вспоминает только на стадии тестирования, на тот случай если случайно ошибся и упустил где-то какую-то операцию)
wano-moroz добавил 28.01.2011 в 05:41
использование шаблонизаторов просто не оправдано
Не бывает таких случаев. Вы заблуждаетесь полагая что "шаблонизатор" это какой-то массивный скрипт на 5 страниц кода, при этом шаблонизатор может быть даже таким
И его использование оправдано всегда. (Если это реальный проект, а не демо-скрипт описывающий как писать говнокод)
Программированием нет, а рисованием - да.
Тогда каким же образом он может внести xss или инъекцию через рисунок или html шаблон?
В этом случае чему удивляться, получив в итоге дырявый сайт? :)
Но в целях экономной экономии наоборот чаще всего и еще похуже бывает🚬
Zegaldis таки уловил одну из основных мыслей статьи - евреи, не жалейте заварки.
Тогда каким же образом он может внести xss или инъекцию через рисунок или html шаблон?
Какой-то бред, причём тут верстальщик?
Притом что Smarty.
Fearful, есть еще шаблоны построенные на пхп. Тот же вордпресс к примеру - нельзя тупо скачать шаблон, поставить и забыть - ты обязательно должен его перечитать, в поисках гадостей или случайных уязвимостей.
Если шаблоны на Смарти или еще хуже - на голом пхп, то верстальщик ВЫНУЖДЕН думать о безопасности, потому что за него не подумал разработчик.
Говносателиты не хотят использовать смарти ?
ГС как раз и не бояться. Чего ему бояться? кто их ломать то будет? :)
Ах да, хостинг за 1 бакс не станет пересобирать пхп или ставить нормальную его версию , забыл.
А зачем? Не проще ли писать совместимый код? :)
А быдло кодер за 10 баксов о безопасности тоже не думает, печаль.
Вот. Собственно одна из базовых мыслёв статьи :)
Хотя опять таки, не только быдлокодер. В принципе любой кодер этого делать не будет.
Господа, вас реально часто , ну или хотя бы раз, ломали на покупном, обслуживаемом софте ? Сдается мне, что все ваши проблемы с безопасностью идут от от "украл, поставил, и так сойдет".
Два раза вбуллетин ломали, когда я был далеко от почты, и не успевал получать и устававливать обновления. Еще были проблемы с хостером. Ну и еще один раз по дури зашел с небезопасной машины в аську. Собственно это все взломы которые у меня были (в смысле взломы меня :) ), так что чисто по скриптам у меня 100% взломов именно платных поддерживаемых скриптов :)
Наоборот, кодер думает о безопасности, программист нет. У хорошего программиста просто нет привычек писать потенциально опасный код (он пишет изначально безопасный код, и о безопасности вспоминает только на стадии тестирования, на тот случай если случайно ошибся и упустил где-то какую-то операцию)
Ну это чуток другая формулировка, но по сути то он изначально о безопасности подумал, а потом еще раз подумал... А посередине не думал :)
Не бывает таких случаев. Вы заблуждаетесь полагая что "шаблонизатор" это какой-то массивный скрипт на 5 страниц кода, при этом шаблонизатор может быть даже таким
И его использование оправдано всегда. (Если это реальный проект, а не демо-скрипт описывающий как писать говнокод)
В строгом понимании это не шаблонизатор ибо код не отделен от шаблона.
Но в принципе у меня где-то был шаблонизатор в те же пять строк. Так что посыл верный.
В этом случае чему удивляться, получив в итоге дырявый сайт? :)
Тут такой момент... Заказчик не способен проверить качество работы при приемке. И не всегда тот, кто берет сто баксов за час напишет лучше чем тот кто берет 1 бакс за час.
Программированием нет, а рисованием - да.
Хм. Рисованием наверное дизайнеру подобает заниматься. А верстальщик в идеале делает весь клиентский код. То бишь и разметку, и жабаскрипт и всё всё всё. Ну это в идеале конечно.
Хм. Рисованием наверное дизайнеру подобает заниматься. А верстальщик в идеале делает весь клиентский код. То бишь и разметку, и жабаскрипт и всё всё всё. Ну это в идеале конечно.
Ну под рисованием я имел ввиду всю верстку и т.п.
Просто часто у форм есть еще и пхп-код. Вот его то и не стоит верстальщику программировать :)
в smarty и других подобных шаблонизаторах есть escape:
http://www.smarty.net/docsv2/ru/language.modifier.escape.tpl
Господа, вас реально часто , ну или хотя бы раз, ломали на покупном, обслуживаемом софте ? Сдается мне, что все ваши проблемы с безопасностью идут от от "украл, поставил, и так сойдет".
Года 3 назад вставляли iframe на один мой сайт с периодичностью в один день. Я сидел, думал где ж у меня в самописе дыра, в итоге вспомнил что на сайте еще пхпбб2 стоял. Ну я сразу почистил на форуме пользователей, оставил регистрацию только через сайт и все проблему как рукой сняло.
В итоге вывод который я вынес за несколько лет, заключается в том что ломают только популярные движки, через известные дыры, и то в 90% случаев это делается на автомате скриптами.
Тот же вордпресс к примеру - нельзя тупо скачать шаблон, поставить и забыть - ты обязательно должен его перечитать, в поисках гадостей или случайных уязвимостей.
Не надо брать халявных шаблонов и шаблоны за копейки и все будет хорошо.
Если шаблоны на Смарти или еще хуже - на голом пхп, то верстальщик ВЫНУЖДЕН думать о безопасности, потому что за него не подумал разработчик.
Потому что правильный шаблон должен выглядеть примерно так
...<div>{content}</div>...
все остальное это попытка создать видимость универсальности в CMS в ущерб другим вещам.