Zion-i2, начинать нужно с себя. Если интернет станет кормильцем многих людей, поднять тарифы на подключение, просто запретить, будет о-о-очень сложно.
Для примера. Запрети интернет в 2008 году, никто бы и не пикнул. Запрети сейчас, разрисованные дома гарантированы. Вон в КНДР, не сильно скучают по нему. Да и телевидении там действительно "зомбирующее"? Не скучаете по старым временам? :)
Во-первых, это тот же AdBlock. Кликать по рекламе вас никто не заставляет, а посмотреть то можно, во благо и благодарность автору интересного вам материала.
ivan-lev, я как раз вашего ответа ждал. Спасибо, поверю на слово. :)
Может еще есть какая-то мысль? :)
bay_ebook, в плане производительности или в плане ресурсов? Если что, ОЗУ много.
bay_ebook, это тоже вариант. Я сейчас сделал связь многих (тегов) к одному. Но это дублирует теги. Даже не знаю что лучше. Дублировать теги или добавлять еще одну таблицу. Кто-то знает?
Я знаю. В первом посте написано "без" сериализации.
bay_ebook, а почему таблица tags не может как раз быть этой "связущей"?
ТС, добавьте строку потребления памяти в демо, пожалуйста.
Как раз таки знаю. Припустим я разрешаю передавать произвольный $_POST['group'], только если Referer какой-то там локальный сайт. Как это можно воспроизвести не видя это исключение в коде? Да никак! Перебор всяких там GET, POST это детская забава. У меня максимальная вложенность входящих параметров PHP max_input_nesting_level - 1. То-бишь, тут даже в Memory Limit не загнать. Ну пришлешь ты мне GET /superpuper'DROP `db`. Ну если у меня построковая валидация URI, что это даст? Что даст, если я очищаю все входящие параметры, кои не прошли точную валидацию по карте? Ничего. Эту уязвимость я уже давно прошел. Не совпадает URL = перебрасываю в поиск и там уже ищу страницу по LIKE.
С этим уже сложнее. Но если не навешивать всяких Open Source фреймворков, всяких супер-пупер полезных библиотек на свою систему, сервер не ломанут. OpenBSD и только нужные бинарники без возможности внешнего взаимодействия. Это лично я использую.
Со строгой валидацией входящих данных, исходный код это единственная зацепка (без прямого доступа к серверу, естественно).
И раз уже за то зашло, то лучше вообще убрать возможность идентификации CMS. Ко мне на сайт столько ботов приходит с запросами типа GET /wp-admin, что сразу вопрос. Неужели нельзя было автоматически называть wp-admin рандомным шифром. Например, md5(домен.соль).
Какой именно? У меня первая ассоциация UNIX vs Windows. А если вы о CMS, тогда, повторюсь, полных реализаций даже не видел.
А перед этим, спарсим список всех сайтов на этой CMS и позаливаем шеллы. Потом (если не забудем), конечно, опубликуем. В случае с ПЗС, даже идентифицировать систему не так то просто.
Лично для меня. Чтобы найти уязвимости ПОС, нужно просто прочитать код. Естественно, при этом нужно быть профи. В случае с ПЗС, нужно ждать полнолуния, искать жертву и в темном лесе потанцевать над огнем... каждый раз меняя танец и жертву. А потом узнать, что оказывается надо было танцевать днем и под ласковый май (это когда багу официально прикроют).
Не дыра. Зачем вы User Agent помещаете в cookies?
В том то дело, в полной реализации их нету. Естественно, если код зашифрован с помощью Zend Op, можно много чего отловить, но если код исполняется на другом сервере, а у клиента установлен только клиент + кэшер? Возможно дыру на стороне сервера вообще не найдут. А даже если найдут, все запросы к серверу можно интеллектуально анализировать и при подозрительной активности заносить в журнал. То-есть, взломщика и возможно уже найденную дыру можно будет отловить еще на момент ее реализации, без всяких там баг репортов.
А это разве закроет доступ извне? Разве только переименовать в %script.php. Тогда будет Bad Request.
