[ПРЕДУПРЕЖДЕНИЕ О БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию | Биткоин форум

		Биткоин Форум > - Wiki
[ПРЕДУПРЕЖДЕНИЕ О БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию

17 сентября 2011, 2:29:06 PM	# 1
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru В последнее время разработчики PHP были ориентированы на Java родинок, которые пришли с поддельным "функции" такие как частные / публичные заявления в рамках классов и PDO. Это почти уверен, что PHP должен либо быть раздвоенной или переработан в версии 6 держа этот путь. Частный и общественный не добавляет ничего к производительности, это просто, что разработчики Java мышление является полпути между чистым открытым исходным кодом разработчиков PHP и очень-патентованной мышления Windows / Apple. Их единственная польза, чтобы предотвратить какой-либо другой разработчик, используя "МОИ" класс доступ к свойствам "Я НЕ ХОЧУ", Теперь, потому что эти родинки получают свой путь, PHP поставляется с по умолчанию КРАЙНЕ небезопасных настроек. Специально в этот момент: magic_quotes_gpc = выкл -> UNSAFE; Я не даю "F" если PDO bullshitter считает, что его установка является более безопасной, чем magic_quotes, отключив его, он открыл более 70% от сети к инъекции SQL. Это основная причина, почему некоторые сайты впрыскивается в последнее время, люди обновить или перенести сервер на новый и оставить его в качестве значения по умолчанию (работает далеко, так зачем беспокоиться, не так ли?) ... прыжки на этот риф, даже не заметив. Это особенно опасно, так как многие компоненты Joomla, Drupal, интернет-магазин ... Вы называете это ... ОС "веб-приложения" полагаться на magic_quotes для предотвращения инъекций. "Это плохая практика, чтобы полагаться на magic_quotes_gpc"? Возможно, но работает и с таким количеством людей, использующих его таким образом, вы, чтобы взять его на счет в первую очередь. Моя ставка была из-за этого bitcointalk взломали, они изменили с bitcoin.org на новый сервер и, скорее всего, сделал новую установку, не заботясь о php.ini.

Как заработать Биткоины?
Без вложений. Не майнинг.

17 сентября 2011, 4:26:09 PM	# 2
Bitsky Сообщения: 560 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Получил 1806 Биткоинов Реальная история. Цитата: BCEmporium от 17 сентября 2011 года, 2:29:06 PM долго разглагольствовать Таким образом, вы жалуетесь, что "функция безопасности", Который никогда не работал отлично, теперь отключается и оставляет разработчику с задачей sanatize вход, так же, как он должен был сделать с самого начала? Если ваш сценарий может быть атакован, потому что вы полагаетесь на magic_quotes_gpc, чтобы защитить вас, то вы не должны писать код.

17 сентября 2011, 4:32:37 PM	# 3
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию ОК, так что давайте все люди, которые установили программное обеспечение программное обеспечение с открытым исходным кодом, такие, как этот форум, быть взломан, потому что "она не работала должным образом" (Ум, чтобы объяснить, где? С чего-то-не-он-использует SQL? Потому что с MySQL это сделал). Это, как вы говорите, что мой ключ Yale не "обеспечить достаточно" так что вы принять его, оставив входную дверь открытой. Хороший! Ну, это же "Открытый исходный код" так что я думаю, вы получите то, что вы заплатили, не так ли? И это не МОЯ SCRIPT, это САМЫЙ широко доступных webscripts вокруг.

17 сентября 2011, 4:34:35 PM	# 4
casascius Сообщения: 1386 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Это законная жалоба.

17 сентября 2011, 4:39:41 PM	# 5
ClownCoins Сообщений: 18 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Волшебные кавычки, как ваш пост; они никогда не должны существовать в первую очередь.

17 сентября 2011, 4:53:46 PM	# 6
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: ClownCoins от 17 сентября 2011 года, 4:39:41 PM Волшебные кавычки, как ваш пост; они никогда не должны существовать в первую очередь. Я не обсуждаю "чудеса" от него, и не мои скрипты полагаться на него. Однако то, что "вред" могут они быть дальше? Для того, чтобы хуже не было бы получить что-то вроде Джона \\ 's вместо Джона ... Так, ничего. И предупредить людей, чтобы удвоить проверить их PHP.INI, потому что некоторые PiDiOts думают, что их установка или лучше "так хорошо" чтобы позволить всем быть взломан плохо, потому что ...?

17 сентября 2011, 4:59:51 PM	# 7
Bitsky Сообщения: 560 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 17 сентября 2011 года, 4:32:37 PM ОК, так что давайте все люди, которые установили программное обеспечение программное обеспечение с открытым исходным кодом, такие, как этот форум, быть взломан, потому что "она не работала должным образом" (Ум, чтобы объяснить, где? С чего-то-не-он-использует SQL? Потому что с MySQL это сделал). Это, как вы говорите, что мой ключ Yale не "обеспечить достаточно" так что вы принять его, оставив входную дверь открытой. Хороший! Ну, это же "Открытый исходный код" так что я думаю, вы получите то, что вы заплатили, не так ли? И это не МОЯ SCRIPT, это САМЫЙ широко доступных webscripts вокруг. Ну, а затем привести ваши жалуются на внимание тех, написание программного обеспечения багги, чтобы они это исправить. magic_quotes_gpc устарели, так как 5.3, так что они в значительной степени должны исправить свой код. Я не плачу много слез, когда люди обжигаются, опираясь на что-то, по их мнению, обеспечивает безопасность. Это один из самых важных правил, чтобы никогда никогда не доверять пользовательского ввода. Всегда проверяйте его и не полагаться на какой-то волшебной магии, которая обещает сделать это для вас. Конечно, это не сладко для пользователей этого программного обеспечения, но это в их силах, чтобы оказать давление на разработчиков, чтобы ее исправить. Официальные заявления: http://www.php.net/manual/en/security.magicquotes.php котировка Эта функция была устаревшей, так как PHP 5.3.0. Опираясь на эту особенность крайне не рекомендуется. (...) Это предпочтительнее код с волшебной цитатой от и вместо этого экранировать данные во время выполнения, по мере необходимости. Кстати, второй комментарий подводит итог (довольно тупой, но верно). Почему он не идеален: http://phpsec.org/projects/phpsecinfo/tests/magic_quotes_gpc.html котировка К сожалению, эта защита не является совершенной: Есть целый ряд других символов, баз данные интерпретируют как специальные, не охватывается этой функцией. Кроме того, данные не передаются непосредственно к базам данных должны неэкранированный, прежде чем он может быть использован. Пример использует, даже если вы "защищенный": http://css.dzone.com/news/hardening-php-magicquotesgpc котировка Основная проблема с magic_quotes_gpc том, что они ничего не знают о контексте. Они не знают, если вы используете данные, чтобы вставить его в MySQL, Oracle, или если вы пишете в файл. Может быть, вы передаете его через SOAP или отображать его в HTML? Или, может быть, все это. Они просто не имеют достаточно информации, только вы это знаете. Спасаясь значения зависит от контекста, в котором они используются. Что касается более, я уверен, что вы знаете, как использовать Google.

17 сентября 2011, 5:08:22 PM	# 8
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию ОК, так что если вы думаете, что это хорошая мера просто перейти на все открытые проекты Источника в Интернете и исправить это ... вы только что, возможно, несколько миллиардов строк коды, чтобы идти. ~ ИЛИ ~ пользователи могут просто быть включенным - они легко заметить, когда включить, чем когда они отключены на самом деле. КСТАТИ; что последний пример не что-то, чтобы использовать его, это просто забота о контексте (которые он должным образом спасся / закодирован). И если вы хотите знать, как я делаю это, Перед ходу объявление Hominem, проверить источник в https://github.com/BCEmporium/PHPCoin

17 сентября 2011, 8:37:03 PM	# 9
Bitsky Сообщения: 560 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Другие проекты исправить. Просто потому, что PHP решил принизить функцию. Конечно, они могут попросить своих пользователей установить версию еще поддерживающую его, но это означает, что не получает каких-либо обновлений для системы безопасности, что делает его тупой ход. нуждается в безопасности, чтобы позаботиться о как можно ближе к проекту. В лучшем случае, внутри проекта. Последний пример объясняет, почему magic_quotes_gpc защиты нет, так как инъекции SQL не остановить. Тем не менее, строгая проверка ввода осуществляется разработчиком и подготовленные заявления делать.

17 сентября 2011, 9:02:29 PM	# 10
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию PHP никогда не решает ничего, я не помню, ИИ в том, что разработана программа, которая может решить про себя, некоторые PHP разработчики ядра делали. И на этих дэв я не могу начать, чтобы получить поражены. Что они задумали? Oracle шпионит для создания "JPHP"? Java был отказ для веб-приложений, даже если это было частью сюжета оригинального Солнца. Теперь ... о людях, которые, вероятно, "не должен" будет развивать проекты. Я не согласен с этой позой! Это элитарность, а элитарность одновременно отвратительная и непродуктивный. Для многих 0 кодирования знаний работа несколько знаний низкого кодирования сделала разницу между ИМЕЙТЕ (даже если плохо закодировано) и не имеет (на всех). инъекции SQL остановлена magic_quotes_gpc, что может произойти, как в паршивых примерах, найденных в вашей URL ( http://css.dzone.com/news/hardening-php-magicquotesgpc ) - просто давая примеры с {$ _POST ...} или {$ _GET ...} внутри SQL заявления, что парень уже является опасным учителем для недоносков - все, что он может сделать, это создать недопустимый запрос, рендеринг SQL ошибка, не инъекция. Для того, чтобы вводить вам нужно может выполнить или изменить запрос, а не только коррумпированные существующий. Если вы просто продажные запросы ... большое дело! Вы не сможете увидеть их возможный выход, и это все. Magic_quotes_gpc является одним из тех простейших вещей, которые сделали большинство PHP родов "идиот доказательство", Удаление его не остановит тех, "низкое знание" от кодирования, будет просто сделать их код более небезопасным, чем это уже.

17 сентября 2011, 10:37:43 PM	# 11
Bitsky Сообщения: 560 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 17 сентября 2011 года, 9:02:29 PM Теперь ... о людях, которые, вероятно, "не должен" будет развивать проекты. Я не согласен с этой позой! Это элитарность, а элитарность одновременно отвратительная и непродуктивный. Я ожидаю, что некоторые "элитарность" когда эти люди обрабатывать данные других. Я не мог заботиться меньше, когда они пишут багги скрипты, которые будут использоваться в своей локальной сети; но когда личные данные других людей участвует, я думаю, что справедливо ожидать некоторые базовые знания. Много утечки данных произошли потому, что разработчики пренебрегли самые основные правила безопасности. Цитата: BCEmporium от 17 сентября 2011 года, 9:02:29 PM инъекции SQL остановлена magic_quotes_gpc, что может произойти, как в паршивых примерах, найденных в вашей URL ( http://css.dzone.com/news/hardening-php-magicquotesgpc ) - просто давая примеры с {$ _POST ...} или {$ _GET ...} внутри SQL заявления, что парень уже является опасным учителем для недоносков - все, что он может сделать, это создать недопустимый запрос, рендеринг SQL ошибка, не инъекция. Для того, чтобы вводить вам нужно может выполнить или изменить запрос, а не только коррумпированные существующий. Если вы просто продажные запросы ... большое дело! Вы не сможете увидеть их возможный выход, и это все. Magic_quotes_gpc является одним из тех простейших вещей, которые сделали большинство PHP родов "идиот доказательство", Удаление его не остановит тех, "низкое знание" от кодирования, будет просто сделать их код более небезопасным, чем это уже. Код: # Падение таблицы, если существует injecttest; # Создать таблицу injecttest (ID TINYINT (3) без знака, auto_increment пользователя VARCHAR (8) не нулевой, проходят VARCHAR (8) не равно нулю, первичный ключ (ID)) двигатель = MyISAM; # вставить в injecttest (пользователя, передать) значения ( 'боб', 'секрет'), ( 'джане', '12345'); $ sзнак равноmysql_connect(«Локальный», 'DbUser', 'DBPass'); mysql_select_db('контрольная работа', $ s); если (Исеть ($ _REQUEST['Я бы'])) { $ IDзнак равно$ _REQUEST['Я бы']; } Еще { $ IDзнак равно0; } $ дзнак равноmysql_query(«Выберите пользователя, перейти от injecttest, где ID =».$ ID); в то время как ($ гзнак равноmysql_fetch_array($ д, MYSQL_ASSOC)) {Эхо "Здравствуйте ".$ г[«Пользователь»].«Ваш пароль».$ г['проходить']."<бр />"; } mysql_close($ s); ?> <Способ Форма ="после" действие =""> Идентификатор пользователя: <тип входного ="текст" имя ="Я бы" /> <тип входного ="Отправить" значение ="послать" /> Теперь я признаю, что это дерьмовый код и, возможно (или надеюсь) не найден в любом реальном мире программы. Но, допустим, какой-нибудь новичок написал это, чтобы пользователи могли получить свой пароль, введя в их идентификатор пользователя. Боб типов в 1 и получает свой пароль. Джейн типов в 2 и получает свой пароль. Типы Badboy в "1 или 1 = 1" (без кавычек) и получает все логины. Все с magic_quotes_gpc включен. Существует ваша инъекция. Нет сломанный запрос, это не вполне допустимо. Да, код предназначен для небезопасно, но это доказывает, что magic_quotes_gpc не останавливает инъекций. И если вы думаете, что никто не использует данные из _POST или _GET непосредственно: люди. Я читал какой-то парень об этом когда-то, кто работал на веб-сайте банка (!).

17 сентября 2011, 10:53:56 PM	# 12
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию На самом деле ваш образец будет введен с или без magic_quotes, но и с mysql_real_escape_string или PDO. Это так плохо закодированы, что нет "идиот доказательство" система сможет спасти вас от Армагеддона. Тем не менее, простой если (Исеть ($ _ REQUEST [ 'ID'])) {$ ID = $ _ REQUEST [ 'ID']; } Еще {$ ID = 0; } в если (Исеть ($ _ REQUEST [ 'ID']) && is_numeric ($ _ REQUEST [ 'ID'])) {$ ID = $ _ REQUEST [ 'ID']; } Еще {$ ID = 0; } не будет ... однако нет PDO или mysql_real_escape_string собирается спасти вас, PDO, вероятно, если вы используете% D, если вы используете% s не совсем. И, очевидно, это не первый раз, когда я вижу ВАР сбрасываемых непосредственно в запросах, так что парень написал "учебник безопасности" учитывая также паршивые примеры, когда речь идет о базовой безопасности запросов.

18 сентября 2011, 1:09:16 AM	# 13
NghtRppr Сообщения: 476 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 17 сентября 2011 года, 9:02:29 PM инъекции SQL остановлены magic_quotes_gpc Нет, они не являются. Эта директива не имеет представления о том, какие базы данных вы запрашиваете и различные базы данных требуются различные символы экранировать. Например, с MySQL не избежать \ x00, \ x1A, \ г, или \ п. Вы должны быть по крайней мере с помощью mysql_real_escape_string (), db2_escape_string (), pg_escape_string () и т.д. Таким образом, вы спасаясь соответствующие символы, которые могут повлиять на ваши запросы к базе данных. Даже при использовании этих функций, это все-таки возможно, что вы могли бы быть с использованием другого набора символов, чем функция отводящей используется. Единственный реальный Решение использовать подготовленные заявления. Опираясь на magic_quotes_gpc является ужасный идея. Он призывает плохие методы программирования и щиты программист от изучения этих ошибок как можно скорее. Чем раньше разработчики PHP очистить память magic_quotes_gpc из их памяти, тем лучше. Начинающие должны узнать обо всех видах подводных камней, даже если это трудный путь, и это должно быть одним из них.

18 сентября 2011, 1:38:41 AM	# 14
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: bitcoin2cash от 18 сентября 2011 года, 1:09:16 AM Цитата: BCEmporium от 17 сентября 2011 года, 9:02:29 PM инъекции SQL остановлены magic_quotes_gpc Нет, они не являются. Эта директива не имеет представления о том, какие базы данных вы запрашиваете и различные базы данных требуются различные символы экранировать. Например, с MySQL не избежать \ x00, \ x1A, \ г, или \ п. Вы должны быть по крайней мере с помощью mysql_real_escape_string (), db2_escape_string (), pg_escape_string () и т.д. Таким образом, вы спасаясь соответствующие символы, которые могут повлиять на ваши запросы к базе данных. Даже при использовании этих функций, это все-таки возможно, что вы могли бы быть с использованием другого набора символов, чем функция отводящей используется. Единственный реальный Решение использовать подготовленные заявления. Опираясь на magic_quotes_gpc является ужасный идея. Он призывает плохие методы программирования и щиты программист от изучения этих ошибок как можно скорее. Чем раньше разработчики PHP очистить память magic_quotes_gpc из их памяти, тем лучше. Начинающие должны узнать обо всех видах подводных камней, даже если это трудный путь, и это должно быть одним из них. Ни один из недостающих символов не позволяет впрыскивание. Коррумпированные запросы не впрыскивать ничего, просто не выполняются. Также не следует ожидать очень сложные запросов или децибел, кроме MySQL с этими новичками. Это обычный PHP + Apache + MySQL набор, который получает тепло. Expose всего Интернета в опасность из какой-то элитарности, вероятно, самые противное движение, которое я когда-либо видел, чтобы быть сделан в любом языке программировании!

18 сентября 2011, 2:36:35 AM	# 15
NghtRppr Сообщения: 476 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 18 сентября 2011 года, 1:38:41 AM Ни один из недостающих символов не позволяет впрыскивание. Во-первых, это зависит от того, какую базу данных вы используете. Во-вторых, даже если первоначальный инъекции не делать ничего, что происходит, когда неправильно спасся данных используется в последующих запросах? Дело в том, magic_quotes_gpc не знает о том, что базы данных вы используете, так что вы это просто ложь, чтобы сказать, что квартира "инъекции SQL остановлены magic_quotes_gpc", Вы должны квалифицировать это заявление, а не предлагать его в качестве панацеи. Цитата: BCEmporium от 18 сентября 2011 года, 1:38:41 AM Также не следует ожидать очень сложные запросов или децибел, кроме MySQL с этими новичками. Это обычный PHP + Apache + MySQL набор, который получает тепло. Это нормально, если вы хотите сказать, что magic_quotes_gpc, может быть, иногда, предотвращает инъекции SQL. Но это не то, что вы сказали ранее, следовательно, моя поправка.

18 сентября 2011, 3:03:12 AM	# 16
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 17 сентября 2011 года, 4:32:37 PM ОК, так что давайте все люди, которые установили программное обеспечение с открытым исходным кодом, такие, как этот форум, быть взломан, потому что "она не работала должным образом" (Ум, чтобы объяснить, где? С чего-то-не-он-использует SQL? Потому что с MySQL это сделал). Не выбирайте чат в середине bitcoin2cash. Те "почти никто не потребляющий-SQL" исключаются. В связи с характером таких проектов Оракул, MSSQL, DBASE, PostegrйSQL ... разработчик имел в виду, чтобы не быть новичку для начала. В MySQL addslashes (что magic_quotes_gpg действительно) достаточно, чтобы спасти вас от инъекций. Коррумпированные запросов нет, но инъекции она делает ... если вы не показать код, как плохо, как Bitsky, но для этого один ничего не может сделать что-нибудь на самом деле.

18 сентября 2011, 4:38:39 AM	# 17
zer0 Сообщения: 350 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Если вы можете избежать PHP сделать это, используя Smalltalk или даже Python В противном случае используйте оберток при вызове к SQL, не имеющих прямого доступа

18 сентября 2011, 4:46:13 AM	# 18
BCEmporium Сообщения: 1162 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: Zer0 от 18 сентября 2011 года, 4:38:39 AM Если вы можете избежать PHP сделать это, используя Smalltalk или даже Python В противном случае используйте оберток при вызове к SQL, не имеющих прямого доступа OO -> НЕТ! Какого черта! Проклятые производители Lego! OO == + Ускорить "развитие" -performance + грохот + несовместимость между версиями ... кроме ускорения "развитие", Языки OO просто повернуть спады. Не достаточно, чтобы посмотреть на "король ОО-языков"; Ява? .NET, по крайней мере быстрее, но утечка памяти как сломанный горшок.

18 сентября 2011, 6:12:20 AM	# 19
NghtRppr Сообщения: 476 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium от 18 сентября 2011 года, 3:03:12 AM Коррумпированные запросов нет, но инъекции она делает ... если вы не показать код, как плохо, как Bitsky, но для этого один ничего не может сделать что-нибудь на самом деле. Нет, подготовленные заявления наверняка остановить кого-то из инъекционного "1 ИЛИ 1 = 1", Как я уже сказал, подготовленные заявления являются способом пойти, если вы на самом деле заботитесь о безопасности. Если вы хотите, чтобы взломать затем сохранить предполагая использование magic_quotes_gpc.

18 сентября 2011, 8:30:37 AM	# 20
Bitsky Сообщения: 560 Цитировать по имени цитировать ответ	Re: [ПРЕДУПРЕЖДЕНИЕ БЕЗОПАСНОСТИ] Dangerous установка PHP.INI по умолчанию Цитата: BCEmporium 17 сентября 2011, 10:53:56 PM На самом деле ваш образец будет введен с или без magic_quotes, но и с mysql_real_escape_string или PDO. Если вы читали мой пост вы заметите, что я сказал, что это прямо-таки плохой код. Но позвольте мне процитировать один из ваших предыдущих постов: Цитата: BCEmporium от 17 сентября 2011 года, 9:02:29 PM инъекции SQL остановлены magic_quotes_gpc А теперь вы признали, что мой пример будет впрыскивать, доказывающий ваше ранее утверждение неверно. Цитата: BCEmporium от 18 сентября 2011 года, 1:38:41 AM Expose всего Интернета в опасность из какой-то элитарности, вероятно, самые противное движение, которое я когда-либо видел, чтобы быть сделан в любом языке программировании! Это больше походит на наличие мягких резиновых бамперов вниз вдоль каждой улицы, а потом жалуются на автокатастрофу, потому что одна улица не имеет их вместо того, чтобы научиться правильно водить в первую очередь. Цитата: BCEmporium от 18 сентября 2011 года, 3:03:12 AM В MySQL addslashes (что magic_quotes_gpg действительно) достаточно, чтобы спасти вас от инъекций. Тогда почему вы отменяя magic_quotes_gpg "защита" и полагаться на mysql_real_escape_string () вместо этого? Код: функционировать makeSQLSafe ($ НТР) { если (get_magic_quotes_gpc ()) $ ул = stripslashes ($ строка); вернуться mysql_real_escape_string ($ строка); } Этот блок кода взят из проекта.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW