Не делайте так
- RSol
- Сообщения: 325
- Зарегистрирован: 2010.05.07, 08:36
- Откуда: Северодонецк, Украина
- Контактная информация:
Не делайте так
Люди обратите внимаение на безопасность ваших сайтов!!!
Не делаете дыр
Дыра на поверхности (это безобидная, а ведь можно и что-то похуже):
http://www.prohq.ru/projects/search/?q= ... Fscript%3E
Не делаете дыр
Дыра на поверхности (это безобидная, а ведь можно и что-то похуже):
http://www.prohq.ru/projects/search/?q= ... Fscript%3E
- lancecoder
- Сообщения: 2532
- Зарегистрирован: 2012.06.26, 17:16
Re: Не делайте так
может надо создателям ресурса отписать было, а не публичо выложить, аяяяй
Re: Не делайте так
htmlspecialchars спасёт?!
Re: Не делайте так
Пфф... люди освоили чуть-чуть Yii и давай сайты делать) есть картинка на эту тему http://cs418925.userapi.com/v418925664/ ... FhvYO8.jpg
Re: Не делайте так
Жалко, что она вконтактике, к которому доступа нету...
- RSol
- Сообщения: 325
- Зарегистрирован: 2010.05.07, 08:36
- Откуда: Северодонецк, Украина
- Контактная информация:
Re: Не делайте так
Интересно сколько времени будет эта дыра. Вчера утром отписался. Еще существует.
Re: Не делайте так
Исполнителя сложно найти наверное, проект делал человек, которого в штате нет ) Да и внеплановые расходы:)
- sergebezborodov
- Сообщения: 133
- Зарегистрирован: 2010.06.10, 19:53
- Откуда: Dnepropetrovsk-Sevastopol, UA
- Контактная информация:
Re: Не делайте так
тут помимо фильтрации вывода, по хорошему нужно фильтровать и на входе, я юзаю экстеншен http://www.yiiframework.com/extension/input
но это по сути перетянутый компонент из codeigniter
может кто знает реализацию по лучше?
но это по сути перетянутый компонент из codeigniter
может кто знает реализацию по лучше?
A passion to perform
http://sergebezborodov.com
http://sergebezborodov.com
Re: Не делайте так
Обычные правила валидации уже не в моде?:( можно впринципе и перед сохранением выпиливать через purifire тот же, без разницы.
Re: Не делайте так
фильтр + встроенный CHtmlPurifiersergebezborodov писал(а):может кто знает реализацию по лучше?
-
- Сообщения: 139
- Зарегистрирован: 2009.09.02, 16:21
- Откуда: Черкассы, Украина
Re: Не делайте так
На самом деле дыра не совсем безобидная и при желании можно получить доступ к аккаунту пользователя, утянув куки, предварительно подсунув "правильно" сформированную ссылку. Хотя как в случае с конкретно данным ресурсом - ту нужно смотреть отдельно.
- Ghost_nsk
- Сообщения: 825
- Зарегистрирован: 2012.01.01, 00:45
- Откуда: Новосибирск
- Контактная информация:
Re: Не делайте так
дыра кстати до сих пор
Re: Не делайте так
Она им не мешает ^_^
Re: Не делайте так
дак а админам то писали? или может тут есть кто делал?
- lancecoder
- Сообщения: 2532
- Зарегистрирован: 2012.06.26, 17:16
Re: Не делайте так
этот проект на сколько я знаю финансируют инвесторы, вложили дохера бабла туда, я слышал цифру в сотни тысяч баксов, не верится правда. Видимо его заморозили или ищут новых исполнителей
- slavcodev
- Сообщения: 3134
- Зарегистрирован: 2009.04.02, 21:42
- Откуда: Valencia
- Контактная информация:
Re: Не делайте так
Жду Yii 3!
- lancecoder
- Сообщения: 2532
- Зарегистрирован: 2012.06.26, 17:16
Re: Не делайте так
mc-bear