Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Опасные уязвимости в платформе электронной коммерции Magento , opennews (??), 28-Мрт-19, (0) [смотреть все] 1 9 подвержены , Аноним (1), 23:09 , 28-Мрт-19, (1) –1 Шёл 2019 год, а php всё не мог справиться с sql-injection Блин, КАК ТАК МОЖНО Н, Ordu (ok), 23:17 , 28-Мрт-19, (2) –3 // Попытайтесь И удивитесь, как много странных случаев, которые в красивые огранич, Crazy Alex (ok), 23:45 , 28-Мрт-19, (3) // Динамически собирать запрос можно и в безопастном виде , vedronim (?), 00:43 , 29-Мрт-19, (6) +5 // Нет, нельзя В SQLite, например, нельзя создавать таблицы и триггерить прагмы ис, Аноним (7), 01:07 , 29-Мрт-19, (7) –1 Скклайт это крайний случай На нем е-коммерцию нормальные люди не делают Уже в , vedronim (?), 09:48 , 29-Мрт-19, (31) +1 Два золотых правила, забывая которые, получают все эти грабли 1 Весь - повторюс, Онаним (?), 08:43 , 29-Мрт-19, (25) –2 Это делается элементарно let field_name get_one_more_field_name let result , Ordu (ok), 01:08 , 29-Мрт-19, (8) –2 // и учить ещё один язык в дополнение к SQL А потом ой а как написать OR Ой а , vitalif (ok), 01:17 , 29-Мрт-19, (10) +1 Это и есть sql Тут ничего учить дополнительно не надо, достаточно понять идею, , Ordu (ok), 01:33 , 29-Мрт-19, (11) –1 Да блин, ормов сотоварищи написано уже море Но используются в основном какой-ни, Crazy Alex (ok), 02:58 , 29-Мрт-19, (15) То что я предложил выше -- это не ORM Не надо путать тёплое с мягким , Ordu (ok), 04:16 , 29-Мрт-19, (16) +1 Ну делал я себе такой генератор запросов ради эксперимента Выкинул 1 Неудобно , Онаним (?), 08:47 , 29-Мрт-19, (26) +1 Не, мужики, вы опять двинулись не в ту сторону Вместо того, чтобы мечтать о как, Аноним (39), 12:09 , 29-Мрт-19, (39) –2 ну не живёт оно Хотелки всегда растут, Crazy Alex (ok), 17:35 , 29-Мрт-19, (52) Не надо о них мечтать Они есть, да, с проверкой корректности в compile time, ти, Борщдрайвен бигдата (?), 20:29 , 29-Мрт-19, (55) А как ты мерял Я просто нашёл такую библиотеку для php, и мне аж любопытно стал, Ordu (ok), 13:25 , 29-Мрт-19, (44) Я знаю поэтому и написал ормов сотоварищи , Crazy Alex (ok), 17:34 , 29-Мрт-19, (51) кхммм, во-первых, проблемы разрешают, а не решают, решают - задачи Во-вторых, п, Sw00p aka Jerom (?), 16:17 , 29-Мрт-19, (48) –1 Давайте теперь устроим тут урок русского языка Как вам будет угодно 128580 , Ordu (ok), 19:28 , 29-Мрт-19, (54) Как-как Надо спозиционировать язык как язык для домохозяек , после чего нараст, freehck (ok), 02:00 , 29-Мрт-19, (13) Ну с селектом-то всё просто Если уж показывать, то джойны, агрегаты, вложенные , freehck (ok), 01:57 , 29-Мрт-19, (12) +1 Мне сложно навскидку предложить решение для php Там нужны ссылки на поля из раз, Ordu (ok), 05:04 , 29-Мрт-19, (22) Ага А теперь давай напишем SELECT a x, SELECT SUM b y FROM b WHERE b f IN , Онаним (?), 08:53 , 29-Мрт-19, (27) gt оверквотинг удален Ты в курсе, что подзапросы можно собирать в переменные, , Ordu (ok), 13:50 , 29-Мрт-19, (46) А, так это не готовая реализация, это просто прожект Сорри, я подумал, ты о как, freehck (ok), 13:24 , 30-Мрт-19, (62) Да, я из этого обсуждения уже понял Они мыслят в узких рамках создания конкретн, Ordu (ok), 23:39 , 30-Мрт-19, (63) Это у вас статически построенный запрос Для простых случаев - так и делают, бла, Crazy Alex (ok), 02:22 , 29-Мрт-19, (14) Динамически Методы типа select, where и прочие вызываются динамически Никто не, Ordu (ok), 04:28 , 29-Мрт-19, (17) Я нашёл https github com nilportugues php-sql-query-builderДействительно я ош, Ordu (ok), 05:32 , 29-Мрт-19, (23) Да нет, ты не ошибался Только это не к PHP шникам, а как раз к любителям класс, Онаним (?), 08:58 , 29-Мрт-19, (29) +3 Всеми руками за, бро , vedronim (?), 09:51 , 29-Мрт-19, (33) Хех Ну тогда втoпку php, всё что я могу сказать , Ordu (ok), 13:27 , 29-Мрт-19, (45) +1 простите, а у вашей ОРМ разве не столько файлов или вы их своими не считаете , Sw00p aka Jerom (?), 16:21 , 29-Мрт-19, (49) да ладно, не удивлен, после новости с циской пс адская капча 66637, Sw00p aka Jerom (?), 01:10 , 29-Мрт-19, (9) +1 // Зато у меня щас была кошерная - 24816, Аноним (39), 12:11 , 29-Мрт-19, (40) –1 Это вопрос элементарной аккуратности Тут надо не тормознющие и ограниченные saf, Онаним (?), 08:38 , 29-Мрт-19, (24) +2   // Да, точно Вон C C программеры до сих пор правят И опыт Magento тоже показыва, Ordu (ok), 13:24 , 29-Мрт-19, (43)   тут не в php дело, а конкретно в маженте - эталонного примера некомпетентности р, конь в пальто (?), 08:55 , 29-Мрт-19, (28) +1 // ругать ЯП - последнее дело , Sw00p aka Jerom (?), 16:24 , 29-Мрт-19, (50) Ну дык не истери, не плачь, не проси - а возьми И ДАЙ Ты же типо умнее перечисл, _ (??), 14:46 , 29-Мрт-19, (47) +1 // Так возьми или дай Я не понимаю, что ты имеешь в виду , Ordu (ok), 19:25 , 29-Мрт-19, (53) Кто-то до сих пор пользуется этим раздутым маркетинговым буллшитом , zzz (??), 23:55 , 28-Мрт-19, (4) –1 // какие альтернативы , tsifra (?), 11:29 , 29-Мрт-19, (36) // Бооо-о-ольше БООООООЛЬШЕ раздувать маркетинг булш1том очевидно , Andrey Mitrofanov (?), 11:47 , 29-Мрт-19, (38) +2 // Непонятно, что имелось в виду, tsifra (?), 23:28 , 29-Мрт-19, (57) Мне правда очень интересно Знаком с платформой с первой версии Недавно внедрял, tsifra (?), 23:45 , 29-Мрт-19, (59) Ну, начни отсюда https en wikipedia org wiki Category Free_e-commerce_softwar, Аноним (39), 12:24 , 29-Мрт-19, (41) –2 // Вы насколько хорошо с предметной областью знакомы Рассчитывал получить коментар, tsifra (?), 23:27 , 29-Мрт-19, (56) когда вместо ответа дают ссылку на бессмысленные списки из викибредии - это озна, пох (?), 23:41 , 29-Мрт-19, (58) Я оцениваю мадженту больше как каркас с готовой веб-витриной и всеми ништяками д, tsifra (?), 23:56 , 29-Мрт-19, (60) механизм, да, не готовая машина но время на сборку из шестеренок часть из кото, пох (?), 09:56 , 30-Мрт-19, (61) +1 Стоит уточнить, что Magento это компания Adobe , Аноним (5), 00:10 , 29-Мрт-19, (5) +3 // с этого и надо начинать было, по криворукости программеры абоба уступают только , Аноним (32), 09:48 , 29-Мрт-19, (32) +1 // magento принадлежит адобу не более полугода, вряд ли они кого-то, кроме топов, у, sin (??), 12:58 , 29-Мрт-19, (42) Security module for php7 - Killing bugclasses and virtual-patching the rest http, Аноним (18), 04:50 , 29-Мрт-19, (18) // Suhosin уже был, спасибо, не надо , Онаним (?), 09:02 , 29-Мрт-19, (30) +1 // только он пищал и портил текст, и не работал Ой, нет, простите, с vi перепутал , нах (?), 10:34 , 29-Мрт-19, (35) https chaneyoon tistory com 253https www cdxy me p 752https github com br, Аноним (18), 04:54 , 29-Мрт-19, (19) // Tutorial Local File Include LFI https underc0de org foro bugs-y-exploits t, Аноним (18), 04:55 , 29-Мрт-19, (20) Some common ways of upgrading from LFI to RCEhttps www rcesecurity com 2017 08, Аноним (18), 04:57 , 29-Мрт-19, (21) 1,2,4,5,18,19

Сообщения

[Сортировка по времени | RSS]

	24. "Опасные уязвимости в платформе электронной коммерции Magento..."	+2 +/–
	Сообщение от Онаним (?), 29-Мрт-19, 08:38
	Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API плодить для раздолбаев, а банально вправлять руки/мозги джунам до просветления.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	43. "Опасные уязвимости в платформе электронной коммерции Magento..."	+/–
	Сообщение от Ordu (ok), 29-Мрт-19, 13:24
	> Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API > плодить для раздолбаев, а банально вправлять руки/мозги джунам до просветления. Да, точно. Вон C/C++ программеры до сих пор правят. И опыт Magento тоже показывает, что это работает. Да.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема