Кардинальный метод защиты от XSS и атак по подстановке SQL-з...,
opennews (??), 17-Июн-10, (0) [смотреть все]
- Зачем это А внешних кавычек conn- query select from table where fname fn,
Аноним (-), 00:40 , 17-Июн-10, (1) –8 //
- Очень интересно Просто и гениально Хотя все сводится к тому, что программисты в ,
XoRe (ok), 00:42 , 17-Июн-10, (2) +1 //
- По-моему он экранирование переизобрел И даже если принять синтаксис , непонятн,
_Vitaly_ (ok), 01:14 , 17-Июн-10, (7) +4 //
- В том-то и дело, что экранировать сплошь и рядом забывают или криво экранируют, ,
Аноним (-), 04:23 , 17-Июн-10, (19) +2 //
- А ещё можно экранировать при включенном автоэкранировании, тоже весело Так что ,
zazik (ok), 10:30 , 17-Июн-10, (41)
- Когда разработчики не дураки, обычно запросы идут через прослойку, которая автом,
_Vitaly_ (ok), 12:19 , 17-Июн-10, (56) +3
- идея конечно гениальнаНОесли у меня в базе будут base64 закодированные данные, т,
ffsdmad (ok), 01:00 , 17-Июн-10, (4) –1
//
- Base64 передается в только в запросе, завернутый в вызов функции преобразования ,
Alex (??), 01:16 , 17-Июн-10, (8) –1
//
- base64 всегда буквы и цифры, т е чтобы не делал в запросе всегда будут буквы и ,
Аноним (-), 04:27 , 17-Июн-10, (20) +1
- непонятно, так если я введу например через веб-форму or в переменную fna,
ссс (?), 01:03 , 17-Июн-10, (5) –1 //
- получивший известность обнаружением фундаментальной уязвимости в ,
ffsdmad (ok), 01:04 , 17-Июн-10, (6)
- Не выполнит ,
аноним (?), 01:43 , 17-Июн-10, (12) +2
- В запросе к базе будет вместо вашего or - b64d DSSDDQEd , и уже СУБД д,
Аноним (-), 04:32 , 17-Июн-10, (22) +1
- А 2 года назад меня пытались заплевать http sql ru forum actualthread aspx t,
vvvua (ok), 01:18 , 17-Июн-10, (9) +1 //
- А тебя и сейчас за это заплюют и правильно сделают ,
аноним (?), 01:44 , 17-Июн-10, (13) –1
- Вы предгагаете сделать так INSERT INTO table VALUES _base64_enoded_string_ ,
Аноним (-), 01:57 , 17-Июн-10, (15) //
- И правильно заплевали Ваше решение из разряда защитимся от XSS и для этого всё в,
pento (?), 02:01 , 17-Июн-10, (17) //
- Верно сказано Чем эти методы лучше использования, скажем, PDO с параметрами и н,
Gambler (ok), 03:02 , 17-Июн-10, (18) +1
- Вы ошиблись Я не от XSS защищал, а от SQL injection Это разные вещи Кроме тог,
vvvua (ok), 14:55 , 17-Июн-10, (72) //
- Лол Base64 в целях безопасности, такого еще не было ,
аноним (?), 06:39 , 17-Июн-10, (25) –5
- Вы предлагали совсем другое Глупо хранить в базе все строки в base64 ,
FractalizeR (ok), 10:26 , 17-Июн-10, (39) +1 //
- Во всех нормальных библиотеках это происходит и так псевдокод query parse ,
tonnzor (?), 01:45 , 17-Июн-10, (14) +5 //
- Автор это объясняет тем, что ни один програмер не пишет параметризированные запр,
filosofem (ok), 01:59 , 17-Июн-10, (16) //
- Фигня Параметризованные запросы сильно ускоряют работу при использовании норм,
Sabitov (?), 06:51 , 17-Июн-10, (27) +3 //
- Зачем mysqli да, если есть выбор пиши под постгрес, не пожалеешь И автора не ,
filosofem (ok), 08:22 , 17-Июн-10, (29)
- Раз уж пошла такая пьянка Есть неочевидный фактор, который заставляет меня ус,
Pashugan (?), 13:07 , 17-Июн-10, (61) +1
- Ты написал тупость, которая даже в мена костыле MySQL уже не соответствует дейст,
аноним (?), 17:19 , 17-Июн-10, (80) –1
- Вообще написал он правильно - разница в скорости выполнения минимальна Вызов фун,
Ivan1986 (?), 20:35 , 17-Июн-10, (86) +1
- Вы в корне не правы или правы в некотором частном случае может быть для MySQL ,
onk (?), 11:44 , 18-Июн-10, (92) +1
- Я знаю, что правильно написал, потому что проверял это реальными тестами mysqli,,
Pashugan (?), 14:39 , 18-Июн-10, (93)
- Семь раз RTFM, один раз rm -rf D,
tupka (?), 19:34 , 18-Июн-10, (97) +1
- Полная чушь, если нормально реализовано, то никто просто не захочет писать не па,
Ivan1986 (?), 09:08 , 17-Июн-10, (30) +1 //
- Вся прелесть параметризованных запросов как-то в миг рушится, когда параметром о,
Lain_13 (?), 09:44 , 17-Июн-10, (33)
- Что именно чушь Если СУБД не поддерживает параметризированные запросы, то никак,
filosofem (ok), 11:17 , 17-Июн-10, (43)
- Я ее дописывал, а не только проверял Что может - использует встроенные параметри,
ivan1986 (?), 11:25 , 17-Июн-10, (44)
- А вам не кажется, что использование черного ящика , который то экранирует то па,
Аноним (-), 11:33 , 17-Июн-10, (46)
- А вам не кажется, что придумывание своего велосипеда, который хоть и известен до,
ivan1986 (?), 11:44 , 17-Июн-10, (48)
- Вот видите, вы сами подтвердили мою гипотезу о том, что не стоит доверять внешни,
Аноним (-), 11:49 , 17-Июн-10, (50)
- Вы только что доказали, что вы Аналитик с лора Тоесть вы предлагаете экранирова,
ivan1986 (?), 11:59 , 17-Июн-10, (52) +1
- Я предлагаю не испытывать излишнего доверия к черным ящикам , так как в этом ли,
Аноним (-), 12:17 , 17-Июн-10, (55) +1
- Понятно, позиция называется - пишем на ассемблере все Вы сейчас несете чушь - ис,
ivan1986 (?), 12:34 , 17-Июн-10, (57)
- Стоп, это же именно вы предлагайте использовать левую нестандартную библиотеку в,
Аноним (-), 13:11 , 17-Июн-10, (63)
- Нет, я как раз предлагаю использовать стандартные функции - в случае mysql - mys,
ivan1986 (?), 13:22 , 17-Июн-10, (65)
- Я пробовал принимать в mainstream - ,
Аноним (-), 14:15 , 17-Июн-10, (70)
- Release Date 2006-06-02,
Sw00p aka Jerom (?), 20:48 , 17-Июн-10, (87)
- Не вижу проблем писать код вида псевдокод conn- query SELECT FROM table WH,
Аноним (-), 13:47 , 17-Июн-10, (67) //
- Вот в Постгрес есть такая тема, можно задавать любые ограничители типа somethin,
Аноним (-), 06:39 , 17-Июн-10, (26) +1
- Это всё конечно интересно, да вот только ПМСМ нормальные программеры итак заботя,
anthonio (ok), 09:24 , 17-Июн-10, (31) //
- Безумие какое-то workaround для безграмотности BTW - параметризованные запрос,
Slautin (?), 09:27 , 17-Июн-10, (32) +1 //
- если учесть сколько народу пишет для mysql, то там нативного биндинга нет и изза,
Cobold (??), 12:15 , 17-Июн-10, (54)
- Иногда да, иногда нет См комментарий 61 ,
Pashugan (?), 13:11 , 17-Июн-10, (62) //
- ИМХО автор просто подошёл к проблеме интересным образом Я не говорю, что он реш,
ixti (ok), 11:15 , 17-Июн-10, (42) //
- На самом деле действительно гениально и просто Я бы, по крайней мере, до такого ,
zuborg (?), 11:34 , 17-Июн-10, (47)
- совсем крыша поехала, вставлять eval и рассуждать о безопасности Кроме того эта,
Cobold (??), 12:06 , 17-Июн-10, (53) +1
- 1 нифига этот метод не универсальный а если запрос conn- query select from ,
terr0rist (ok), 12:42 , 17-Июн-10, (58) //
- Последний вывод у вас странный Есть нормальные проекты, просто блин никто в здра,
ivan1986 (?), 12:53 , 17-Июн-10, (59) //
- как-то довелось делать аудит для чужого проекта с тремя тысячами запросами по ко,
Cobold (??), 13:05 , 17-Июн-10, (60) +1
- А что бы вместо пхп предпочли вы ,
noname (??), 22:13 , 21-Июн-10, (103)
- В то время, как такие, как Вы, орут об убогости пхп на форумах, нормальные разра,
Kibab (ok), 19:49 , 22-Июн-10, (104)
- Ну, и ещё раз о главном хоть, это возможно просто пример За conn- query f,
Аноним (-), 14:02 , 17-Июн-10, (69) //
- Странно, что устроили такой холивар на пустом месте Никто не заставляет вас исп,
Aleksey (??), 16:24 , 17-Июн-10, (76) //
- Способ конечно неплохой, но не всегда удобный Кроме того, есть ещё такая вещь ка,
anonymous (??), 18:38 , 17-Июн-10, (83) //
- Проблема в том, что base64 - по природе своей костыль Если подумать, экраниров,
StrangeAttractor (ok), 21:27 , 18-Июн-10, (99)
- base64 ничем не лучше встроенных в БД методов квотирования, а минусы есть -- д,
RinNas (?), 12:48 , 30-Июл-10, (105)
1,2,4,5,9,14,26,31,32,42,47,53,58,69,76,83,99,105
|
Вариант для распечатки
