http://habrahabr.ru/rss/post/44840/ ru editor@habrahabr.ru habrahabr.ru Sat, 11 Feb 2012 11:30:08 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif http://habrahabr.ru/blogs/webdev/44840/#comment_1156013 http://habrahabr.ru/blogs/webdev/44840/#comment_1156013 Thu, 27 Nov 2008 14:32:28 GMT GrandTim http://habrahabr.ru/blogs/webdev/44840/#comment_1149615 http://habrahabr.ru/blogs/webdev/44840/#comment_1149615 Tue, 25 Nov 2008 15:26:30 GMT AlexWebs http://habrahabr.ru/blogs/webdev/44840/#comment_1138537 http://habrahabr.ru/blogs/webdev/44840/#comment_1138537 Уникальная система антиспама — не такая уж и уникальная на самом деле.]]> Thu, 20 Nov 2008 22:00:29 GMT Anarki http://habrahabr.ru/blogs/webdev/44840/#comment_1135238 http://habrahabr.ru/blogs/webdev/44840/#comment_1135238
…

Давно пора делать команду и рекламировать фреймворк. А то в одиночку скучно :)]]> Wed, 19 Nov 2008 23:49:12 GMT Bal http://habrahabr.ru/blogs/webdev/44840/#comment_1135235 http://habrahabr.ru/blogs/webdev/44840/#comment_1135235 Wed, 19 Nov 2008 23:46:38 GMT Treg http://habrahabr.ru/blogs/webdev/44840/#comment_1132635 http://habrahabr.ru/blogs/webdev/44840/#comment_1132635 Wed, 19 Nov 2008 11:49:44 GMT IIIEB4YK http://habrahabr.ru/blogs/webdev/44840/#comment_1132572 http://habrahabr.ru/blogs/webdev/44840/#comment_1132572 Wed, 19 Nov 2008 11:34:05 GMT b_r http://habrahabr.ru/blogs/webdev/44840/#comment_1132170 http://habrahabr.ru/blogs/webdev/44840/#comment_1132170 Wed, 19 Nov 2008 09:46:45 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1131630 http://habrahabr.ru/blogs/webdev/44840/#comment_1131630 hg.balancer.ru/

Распространяется под GPL. Правда, как это часто бывает в проектах «под себя», нет никакой документации :)]]> Wed, 19 Nov 2008 03:55:49 GMT Bal http://habrahabr.ru/blogs/webdev/44840/#comment_1131514 http://habrahabr.ru/blogs/webdev/44840/#comment_1131514 Tue, 18 Nov 2008 23:53:45 GMT Treg http://habrahabr.ru/blogs/webdev/44840/#comment_1131506 http://habrahabr.ru/blogs/webdev/44840/#comment_1131506
if (get_magic_quotes_gpc()) die;

… и все дела ;)]]> Tue, 18 Nov 2008 23:48:05 GMT Treg http://habrahabr.ru/blogs/webdev/44840/#comment_1131501 http://habrahabr.ru/blogs/webdev/44840/#comment_1131501
а вообще, мне нравится писать запросы без плейсхолдеров, я давно сделал себе функцию escape в классе DB, которая в зависимости от переданного значения, либо экранирует значение переменной — обычно для выборки, либо делает из массива строку вида `ключ`='значение',…, для обновления или вставки.]]> Tue, 18 Nov 2008 23:44:20 GMT Treg http://habrahabr.ru/blogs/webdev/44840/#comment_1131394 http://habrahabr.ru/blogs/webdev/44840/#comment_1131394
У меня так: $db->select('cms_content', '*', array(«id» => $_REQUEST[id]));

…

А, в общем, прямые SQL-запросы, даже в таком виде, как у меня — моветон. ORM'ы рулят :)]]> Tue, 18 Nov 2008 22:25:16 GMT Bal http://habrahabr.ru/blogs/webdev/44840/#comment_1130345 http://habrahabr.ru/blogs/webdev/44840/#comment_1130345 Tue, 18 Nov 2008 15:13:07 GMT Sannis http://habrahabr.ru/blogs/webdev/44840/#comment_1130333 http://habrahabr.ru/blogs/webdev/44840/#comment_1130333 чуть выше :-)]]> Tue, 18 Nov 2008 15:10:34 GMT Sannis http://habrahabr.ru/blogs/webdev/44840/#comment_1130325 http://habrahabr.ru/blogs/webdev/44840/#comment_1130325 Tue, 18 Nov 2008 15:09:22 GMT Sannis #comment_1130165 #comment_1130165 Tue, 18 Nov 2008 14:22:24 GMT creotiv http://habrahabr.ru/blogs/webdev/44840/#comment_1130066 http://habrahabr.ru/blogs/webdev/44840/#comment_1130066
if (!$topLevel) {
$key = stripslashes($key);
}

без подсветки синтаксиса глаз не увидел $key как аргумент :) глазу показалось, что там тоже $value…]]> Tue, 18 Nov 2008 13:55:53 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1130038 http://habrahabr.ru/blogs/webdev/44840/#comment_1130038
…
if (is_array($value)) {
$newArray[$key] = undoMagicQuotes($value, false);
}
…

или это я чего-то не втыкаю?]]> Tue, 18 Nov 2008 13:50:06 GMT basilisk http://habrahabr.ru/blogs/webdev/44840/#comment_1129981 http://habrahabr.ru/blogs/webdev/44840/#comment_1129981 Меня всегда радовал их собственный форум на котором онлайн постоянно непонятно сколько тысяч сидит]]> Tue, 18 Nov 2008 13:35:26 GMT gorbarov http://habrahabr.ru/blogs/webdev/44840/#comment_1129725 http://habrahabr.ru/blogs/webdev/44840/#comment_1129725
Не понятно тогда почему авторы движка не используют UTF-8 :)]]> Tue, 18 Nov 2008 11:53:59 GMT maxic http://habrahabr.ru/blogs/webdev/44840/#comment_1129574 http://habrahabr.ru/blogs/webdev/44840/#comment_1129574
> Nice of them to actively keep a record of their attempts online though. Saves me the trouble of pulling together evidence when forwarding it on to the relevant authorities :)

…

> It's still annoying to have it on a public facing website though. For them to believe that editing the forum description is classed as a successful XSS hack is quite funny though.]]> Tue, 18 Nov 2008 11:08:05 GMT IIIEB4YK http://habrahabr.ru/blogs/webdev/44840/#comment_1129505 http://habrahabr.ru/blogs/webdev/44840/#comment_1129505 Знаю пару собачек с такой кличкой =)]]> Tue, 18 Nov 2008 10:41:27 GMT null http://habrahabr.ru/blogs/webdev/44840/#comment_1129484 http://habrahabr.ru/blogs/webdev/44840/#comment_1129484
А не отображается она потому что во фрейме чата прописана кодировка charset=ISO-8859-1]]> Tue, 18 Nov 2008 10:33:27 GMT Kela http://habrahabr.ru/blogs/webdev/44840/#comment_1129443 http://habrahabr.ru/blogs/webdev/44840/#comment_1129443
function getRequest ($key, $type = 'string') {
switch ($type) {
case 'string': return isset ($_REQUEST[$key])? mysql_real_escape_string ($_REQUEST[$key]): '';
}
…
}

Такой подход мне кажется оптимальным: отпадает необходимость проверять все входные данные в каждой строчке, если принимать их через функцию.]]> Tue, 18 Nov 2008 10:15:17 GMT lauri http://habrahabr.ru/blogs/webdev/44840/#comment_1129413 http://habrahabr.ru/blogs/webdev/44840/#comment_1129413
name[nested]

тогда в массиве _GET оно будет присутствовать как

$_GET = array(
«name = array(
„nested“ => „value“,
),
);]]> Tue, 18 Nov 2008 10:01:30 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1129310 http://habrahabr.ru/blogs/webdev/44840/#comment_1129310 Tue, 18 Nov 2008 09:19:32 GMT b_r http://habrahabr.ru/blogs/webdev/44840/#comment_1129269 http://habrahabr.ru/blogs/webdev/44840/#comment_1129269 Сейчас только UTF-8, если не хочешь «проблем» ;)
]]> Tue, 18 Nov 2008 09:05:55 GMT maxic http://habrahabr.ru/blogs/webdev/44840/#comment_1129267 http://habrahabr.ru/blogs/webdev/44840/#comment_1129267 Tue, 18 Nov 2008 09:04:16 GMT maxic http://habrahabr.ru/blogs/webdev/44840/#comment_1129261 http://habrahabr.ru/blogs/webdev/44840/#comment_1129261 magic_quotes — зло.
Отключаем или в php.ini или в .htaccess ( php_flag magic_quotes_gpc off или php_value magic_quotes_gpc Off) или «в ручную» на входе:
if (get_magic_quotes_gpc()) {
function undoMagicQuotes($array, $topLevel=true) {
$newArray = array();
foreach($array as $key => $value) {
if (!$topLevel) {
$key = stripslashes($key);
}
if (is_array($value)) {
$newArray[$key] = undoMagicQuotes($value, false);
}
else {
$newArray[$key] = stripslashes($value);
}
}
return $newArray;
}
$_GET = undoMagicQuotes($_GET);
$_POST = undoMagicQuotes($_POST);
$_COOKIE = undoMagicQuotes($_COOKIE);
$_REQUEST = undoMagicQuotes($_REQUEST);
}


Если не отключить в движке, потом могут возникнуть проблемы у юзеров движка.
]]> Tue, 18 Nov 2008 09:00:38 GMT maxic http://habrahabr.ru/blogs/webdev/44840/#comment_1129238 http://habrahabr.ru/blogs/webdev/44840/#comment_1129238 Поскольку я не профессиональный программист, мне захотелось услышать мнение таковых. Результат Вы можете наблюдать. Движок мог стать открытием. Но не стал. Стоила ли попытка плюсов топику и американских горок в карме — не мне решать, не ради них и делалось. Я результатами доволен.]]> Tue, 18 Nov 2008 08:51:50 GMT IIIEB4YK http://habrahabr.ru/blogs/webdev/44840/#comment_1129234 http://habrahabr.ru/blogs/webdev/44840/#comment_1129234 ься…», однако]]> Tue, 18 Nov 2008 08:50:47 GMT pudovkin http://habrahabr.ru/blogs/webdev/44840/#comment_1129232 http://habrahabr.ru/blogs/webdev/44840/#comment_1129232 Tue, 18 Nov 2008 08:50:07 GMT pudovkin http://habrahabr.ru/blogs/webdev/44840/#comment_1129231 http://habrahabr.ru/blogs/webdev/44840/#comment_1129231 Правда там кеши с salt, поэтому расшифровать не получиться…]]> Tue, 18 Nov 2008 08:49:45 GMT lightcyber http://habrahabr.ru/blogs/webdev/44840/#comment_1129171 http://habrahabr.ru/blogs/webdev/44840/#comment_1129171 Tue, 18 Nov 2008 08:28:40 GMT serf http://habrahabr.ru/blogs/webdev/44840/#comment_1129095 http://habrahabr.ru/blogs/webdev/44840/#comment_1129095 Tue, 18 Nov 2008 08:02:04 GMT leemuar http://habrahabr.ru/blogs/webdev/44840/#comment_1129047 http://habrahabr.ru/blogs/webdev/44840/#comment_1129047 Tue, 18 Nov 2008 07:40:02 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1129045 http://habrahabr.ru/blogs/webdev/44840/#comment_1129045 где, и главное как их обрабатывать.

В РНР6, кстати, этой фигни вообще не будет, и слава богу.]]> Tue, 18 Nov 2008 07:39:00 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1129038 http://habrahabr.ru/blogs/webdev/44840/#comment_1129038
sql::getInstance()->query("SELECT * FROM cms_content WHERE id='%id%'", array("id" => $_REQUEST[id]));

и все дела, перед реплейсом плейсхолдеров данные из массива эскейпятся и инъекция провалится]]> Tue, 18 Nov 2008 07:34:59 GMT dfuse http://habrahabr.ru/blogs/webdev/44840/#comment_1128873 http://habrahabr.ru/blogs/webdev/44840/#comment_1128873 Tue, 18 Nov 2008 05:28:26 GMT XuMiX