Страница 1 из 2
Не делайте так
Добавлено: 2013.01.21, 13:50
RSol
Люди обратите внимаение на безопасность ваших сайтов!!!
Не делаете дыр
Дыра на поверхности (это безобидная, а ведь можно и что-то похуже):
http://www.prohq.ru/projects/search/?q= ... Fscript%3E
Re: Не делайте так
Добавлено: 2013.01.21, 14:03
lancecoder
может надо создателям ресурса отписать было, а не публичо выложить, аяяяй
Re: Не делайте так
Добавлено: 2013.01.21, 14:08
RSol
Конечно написал - возможно что-то сделают.
Re: Не делайте так
Добавлено: 2013.01.21, 14:21
yiijeka
htmlspecialchars спасёт?!
Re: Не делайте так
Добавлено: 2013.01.22, 12:08
samdark
CHtml::encode.
Re: Не делайте так
Добавлено: 2013.01.22, 14:27
Skiller
Пфф... люди освоили чуть-чуть Yii и давай сайты делать) есть картинка на эту тему
http://cs418925.userapi.com/v418925664/ ... FhvYO8.jpg
Re: Не делайте так
Добавлено: 2013.01.22, 14:28
yiijeka
Жалко, что она вконтактике, к которому доступа нету...
Re: Не делайте так
Добавлено: 2013.01.22, 14:45
RSol
Интересно сколько времени будет эта дыра. Вчера утром отписался. Еще существует.
Re: Не делайте так
Добавлено: 2013.01.22, 14:48
yiijeka
Исполнителя сложно найти наверное, проект делал человек, которого в штате нет ) Да и внеплановые расходы:)
Re: Не делайте так
Добавлено: 2013.01.24, 16:40
sergebezborodov
тут помимо фильтрации вывода, по хорошему нужно фильтровать и на входе, я юзаю экстеншен
http://www.yiiframework.com/extension/input
но это по сути перетянутый компонент из codeigniter
может кто знает реализацию по лучше?
Re: Не делайте так
Добавлено: 2013.01.24, 17:01
Skiller
Обычные правила валидации уже не в моде?:( можно впринципе и перед сохранением выпиливать через purifire тот же, без разницы.
Re: Не делайте так
Добавлено: 2013.01.24, 19:03
Nafania
sergebezborodov писал(а):может кто знает реализацию по лучше?
фильтр + встроенный CHtmlPurifier
Re: Не делайте так
Добавлено: 2013.01.25, 22:26
Dreammaker
На самом деле дыра не совсем безобидная и при желании можно получить доступ к аккаунту пользователя, утянув куки, предварительно подсунув "правильно" сформированную ссылку. Хотя как в случае с конкретно данным ресурсом - ту нужно смотреть отдельно.
Re: Не делайте так
Добавлено: 2013.01.31, 21:55
Ghost_nsk
дыра кстати до сих пор
Re: Не делайте так
Добавлено: 2013.01.31, 22:06
yiijeka
Она им не мешает ^_^
Re: Не делайте так
Добавлено: 2013.01.31, 22:27
Skiller
дак а админам то писали? или может тут есть кто делал?
Re: Не делайте так
Добавлено: 2013.01.31, 22:28
lancecoder
этот проект на сколько я знаю финансируют инвесторы, вложили дохера бабла туда, я слышал цифру в сотни тысяч баксов, не верится правда. Видимо его заморозили или ищут новых исполнителей
Re: Не делайте так
Добавлено: 2013.02.01, 17:42
slavcodev
Re: Не делайте так
Добавлено: 2013.02.01, 17:53
lancecoder
лол
Re: Не делайте так
Добавлено: 2013.02.01, 18:15
Skiller
mc-bear