а я смотрю, прогнозисты продолжают резвиться :)
- Ты злой.
- Обоснуй, тварь.
в природе оно всё так: туда-сюда, а потом оп, и съели.
держите ещё:
bitcoen.ru
bitcojn.ru
да, реально. вордпрессу скорей всего дойдут уже искаженные урлы :)
это ж было понятно из скринов на второй странице :)
ЧПУ отработает раньше, если оно на уровне хтацесс разруливается, а не движком.
к тому же не ясно, как обрабатываются кастомные форматы передачи переменных.
например xml или json в POST,
или в тех же урлах: //site/page?param-value/param-value/param-value/
анализирует ли содержимое загружаемых файлов? там же тоже могут быть шеллы в картинках.
если да, то что, так же похерит картинку из-за случайно встреченого ключевого слова?
всё закономерно:
http://news.traders-union.ru/economy/news/249989/
http://bin.ua/news/foreign/near-abroad/163267-rossiya-iz-za-yembargo-putina-snyala-zapret-na.html
мысль ясна, но не ясна цель этого велосипеда.
тот же пхпмайадмин (и другие веб-редакторы БД), я так понимаю, вашим велосипедом херится практически полностью.
это уже зависит от последующего использования пароля.
к примеру, если я в АПИ использую контрольную сумму в виде хэша от строки с паролем и данными, то хэши всегда будут неправильными.
это является катастрофой ибо ваш механизм искажает входные данные.
это же касается имейлов, содержащих ключевые слова. куда код активации, уведомления слать будете? на деревню дедушке?
вы предлагаете все эти велоспеды настраивать человеку, который не разбирается в программировании?
ему проще и правильнее тот же вордпресс просто своевременно обновлять.
тогда как вы вообще определяете, что заменять, а что нет?
такое мыло вы тоже наверное испортите? selector@insert.com
вот вам переменная с инъекцией и 8 мегабайтами мусора
?name=%27%20union%20select%20*%20from20users/*..8..megs..of..trash..*/
если надо - могу мусор вставить до запроса.
понятно. то есть на критические проблемы отвечать не принято :)
буду в лоб:
как ваш код поведет себя в содружестве с форумом программистов, где написание запроса или ПХП кода - нормальное дело?
Правильно ли я понимаю, что юзеру просто не положено иметь пароль вида "select * from hubbabubba;"? Так как ваш скрипт его просто будет херить.
какой логин будет у пользователя, если при регистрации он укажет в качестве логина "eval()" и существует ограничение движка на длину логина 16 символов?
критерии фильтрации вообще непрозрачны, поэтому это тыкание пальцем в небо.
к примеру я вам могу написать скл запрос без единого пробела.
если 8 МБ влазят в ваш лог, то сервер отлично нагрудается 8-мегабайтными пакетами, которые старательно будут записываться на диск.
если не влазят, то ещё лучше - хакер будет действовать незаметно, добавляя мусор к запросам.
боже упаси от такой защиты. и от продуктов, которым годится такая защита.
я первые пару лет тоже безбожно говнокодил, изобретая велосипеды.
но вот до искажения входных параметров никогда не опускался :(
это что, оно ещё свои логи на диск пишет?
то есть можно жирными пакетами с "eval" диск забить под завязку?
0.11 секунды отрабатывает скрипт даже без коннекта к базе?
от же фейспалм :(
сертификации какие-то проходили хоть, чтоб людям предлагать ионкубнутые скрипты со словами "просто попробуйте"?
ах, оно ещё куда-то периодически долбится?
то есть если положить "сервер обновлений", то сайт может начать тормозить?
Зачем я в эту тему заходил? Теперь всю ночь кошмары будут сниться :(
