| 1.1, ЦККПСС (?), 00:16, 17/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Мда, сначала написали тулзу через попу, придумав кучу дырок. Потом пишут книжки, как в попу чопик вставить, чтобы кто-то другой не вставил что похуже... Идиотизм. Эх... | | |
| |
| 2.4, sash (??), 11:14, 17/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
SQL injection - уязвимость которая появляется в коде из-за неправильного подхода к реализации, и пхп не имеет к ней отношения. Не программист, и может скажу не то, но если в приложении на java подставить данные из POST или GET прямо в запрос, и код будет уязвим - неужели это проблема джавы, а не человека который написал код.
Все равно что ругать С, за то что при неправильной работе с переменными и памятью может возникнуть buffer owerflow.
Проблема не в пхп, а в тех кто пишет подобный код. | | |
| |
| 3.7, wfx (?), 15:43, 17/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
В PHP отсуствует поддержка такой полезности, как "placeholders". Например
на Perl код выглядит примерно так:
$q = new CGI;
$dbh->do("INSERT INTO mytable (key,val) VALUES (?,?)", undef, $q->param('key', $q->param('val'))
or die $dbh->errstr;
После Perl очень тяжело "переучиваться" на особенности работы с СУБД в PHP :-( | | |
|
|
| |
| 2.3, impatt (??), 05:58, 17/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
> да запретить просто SQL Injection и никаких проблем
На законодательном уровне :) | | |
|
| 1.5, root (??), 11:44, 17/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин | | |
| |
| 2.10, citrin (ok), 22:57, 17/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
 > Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин
Статьи писать как раз таки нужно. В надежде на то, что хотя бы кто то из программеров их будет читать.
Очень много сайтов в Росси пишутся программистами, прочитвашими пару книжек про PHP в которых ничего не сказано про безопасность. И пишут насквозь дырявый код, до тех пор пока их сайт кто нибуть не задефейсит. А потом очень злятся на коварных хакеров, которые творят такие "чудеса".
В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в веб-приложениях.
Веб-программисты удиляющие безопасности должное внимание встречаются очень редко. И это отчасти закономерно - заказчика прежде всего волнует функциональность сайта. А даже если кого то и волнует безопасность (а такие заказчики почти не встречаются), то легко можно навешать лапшу, поскольку проверить чужой код на наличие/отсутствие уязвимостецй не будучи экспертом в этой области нельзя. | | |
| |
| 3.12, Аноним (-), 01:52, 20/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
>В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание
>таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в
>веб-приложениях.
В ВУЗах (по крайней мере в моем) вообще внимания не уделяют таким вещам. Там люди пишут в курсовиках, что для защиты сервера нужно сторожа нанимать и за это ставят "отлично". А если начинаешь рассказывать про такие вещи - получаешь "низачот" с мотивировкой, что это частности. Потом такие студенты идут работать и пишут соответствующий кривой код. Их никто не научил грамотно писать программы.
Так что статьи такого плана весьма и весьма полезны. | | |
|
|
| 1.8, scum (??), 17:52, 17/10/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>В PHP отсуствует поддержка такой полезности, как "placeholders".
В adodb есть. | | |
| |
| 2.11, Dimez (??), 08:53, 19/10/2005 [^] [^^] [^^^] [ответить]
| +/– | |
И кто им пользуется? Ну и ещё он тормозной(тут недавно ссылка на сравнение проскакивала) | | |
|
|
