https://www.opennet.ru/openforum/vsluhforumID3/119642.html Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52274<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#22 Tue, 04 Feb 2020 06:00:48 GMT но все продвиженцы фрейморков утверждают что если используешь фреймворки - то думать головой не обязательно<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#21 Sun, 02 Feb 2020 23:31:41 GMT Надо меньше читать хабр по утрам и больше думать головой.<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#20 Sun, 02 Feb 2020 14:04:13 GMT Проблема не в том что можно есть руками<br><br>Проблема в том что тебе нагло врут что вилка защищает от наличия тараканов и мух в еде<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#19 Sat, 01 Feb 2020 15:05:21 GMT Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно.<br><br>На этой идее вполне можно сделать статический анализатор (но он должен быть достаточно конфигурируемым, чтобы ему объяснить API конкретного DBAL).<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#18 Sat, 01 Feb 2020 14:55:45 GMT Наличие вилки не мешает жрать руками. Вывод - вилки не нужны!<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#17 Sat, 01 Feb 2020 06:51:18 GMT А веть это позиционируется как одно из основновных приемуществ<br><br>Вывод - фреймворк не нужны<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#16 Fri, 31 Jan 2020 11:14:57 GMT Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements.<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#15 Fri, 31 Jan 2020 03:15:48 GMT Используй фреймворк - говорили они<br>Там нет возможности sql injection - говорили они<br> https://www.opennet.ru/openforum/vsluhforumID3/119642.html#14 Thu, 30 Jan 2020 17:47:55 GMT Даги сила, ежжи<br>