| 1.3, leon55 (?), 18:15, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
на самом деле, практика показала что ломается всё что создано человеком и ломается им же.. :(
| | |
| |
| 2.4, Я (??), 18:21, 29/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
предлагаю сразу же писать так - "Все сломано (c) Автор"
| | |
|
| 1.5, vbv (ok), 18:22, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Берем Нормальную книгу по perl + /dev/hands (по прямее). Все то-же самое.
А публиковать список правил....
| | |
| 1.6, se (??), 18:44, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
бесполезная статья.
все перечисленное - тупое пересказывание общеизвестных фактов.
imho приведи автор кусочки кода с примерами и реализацией атак на них, вышел бы толк.
| | |
| 1.7, Аноним (7), 23:29, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
вот почему чем дальше, тем больше появляется долпаепов которым обязательно надо все обосрать.
ну не нравится если тебе, то помолчи, может за умного сойдешь...
| | |
| 1.8, Аноним (7), 23:39, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чё за 3.14здабол писал это?
[quote]
7. Данные от пользователя без фильтрации в регулярном выражении следует использовать только так:
$a = param 'a';
if ( $text =~ /\Q$a\E/ )
{
# ...
}
[/quote]
Он обкурился? Если кто-то это почитает и сделает так-же?
| | |
| |
| |
| 3.10, Аноним (7), 02:12, 30/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
А представьте что приходит вам от клиента параметр a такого вот типа:
(?{ а тут, к примеру, perl-код для открытия шела... })
в общем по статье - кг/ам. аффтар сам ни в зуб ногой, покопировал откуда-то чего нашел, и выложил.
| | |
| |
| 4.11, angra (ok), 06:24, 30/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
"Не критикуй других на той почве, на которой сам не твердо стоишь" (с) Марк Твен
Вы бы хоть man perlre заглянули на предмет того что такое \Q\E. Так что "ни в зуб ногой" это к вам, а не автору.
P.S. на всякий случай, \E внутри $a вам не поможет
| | |
|
|
|
| 1.13, Stanislaus (?), 11:51, 30/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Большое спасибо автору за труд. Хоть большинство фактов и общеизвестные, он потрудился собрать их в одном месте.
Потом я, лично для себя, узнал о существовании таких WYSIWYG js эдиторов как FCKeditor, TinyMCE.
И наконец, $text =~ /\Q$a\E/ относится к тому, что я действительно не знал и у меня было полно таких дырок.
| | |
| 1.16, Онанимус (?), 16:53, 31/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Как вам перспектива накрутки счетчика
> злоумышленником, либо добавление записей
> флудером при помощи метода HEAD?
очень хорошая перспектива,
но HTTP range - еще лучше.
| | |
| 1.17, djandrey (??), 12:33, 02/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
2: Аноним, 23:39:32, 29/10/2007; Аноним, 02:12:45, 30/10/2007
1) не покопировал, а составил из собственного опыта
и того, на что напарывались коллеги
2) читайте доки внимательно или хотябы проверяйте, перед тем, как писать такое.
для справки: все, что находится между \Q и \E в регулярке не интерполируется.
2 zoonman:
так и есть
2 all:
это далеко не всё, что можно было написать. я вспомнил ещё некоторые вещи, которые мне встречались. статья будет дополнена как минимум ещё один раз.
учту комментарии, некоторые вещи нужно поподробнее мотивировать и примеры добавить.
спасибо за отзывы.
| | |
|
