<rmcreative>

RSS

Все заметки с тегом «Безопасность»

  1. PHP, валидация и массивы

    2 ноября 2009

    Наверное, многие сталкивались с задачей ввода произвольного числа одноимённых полей через форму. В PHP это сделано довольно удобно: в форме к имени поля добавляется [] и на стороне сервера в $_POST, $_GET или $_REQUEST мы получаем уже массив.

    В любом коде необходимо проверять данные, пришедшие из форм и адресной строки. В любом хорошем коде они проверяются. Но вот про эту особенность с квадратными скобками очень часто забывают.

    http://example.com/list.php?q=test
    http://example.com/list.php?q[]=test

    Довольно безобидный код, в котором нет проверки:

    $q = null;
    if(!empty($_GET['q'])) {
      $q = $_GET['q'];
    }
    // тут начинаем работать с $q как со строкой

    А вот менее безобидный пример: в WordPress до версии 2.8.4 можно было таким вот образом сгенерировать новый пароль администратора без отсылки ему каких-либо писем.

    3 комментария
  2. SVN strikes back: big projects are in danger

    25 сентября 2009

    С таким заголовком изначально планировался выход адаптации статьи Антона Исайкина и 2-х товарищей, ставшей очень популярной в очень короткое время.

    Из-за большей, чем у нас на Родине полит-корректности и суровых наказаний за пренебрежение оной, статья подверглась правкам и изначально выглядела довольно глупо.

    К счастью, редактор Smashing Magazine Виталий Фридман прислушивается к мнению авторов. Поэтому, адаптация хоть и не вышла столь сенсационной, но получилась, по-моему вполне достойной.

    Читаем

    2 комментария
  3. Были получены исходники 3300 глобальных интернет-проектов

    23 сентября 2009

    Антон Исайкин и сотоварищи очень интересным способом смогли получить исходники 3300 глобальных интернет-проектов. И это не какие-то там мелкие домашние странички, а Яндекс, Рамблер, Opera и т.д.

    Как это было и как с этим бороться читаем на Хабре

    4 комментария
  4. Роковые ошибки PHP

    12 октября 2008

    Описание распространённых и не очень уязвимостей PHP с примерами. Очень полезный материал для всех, кто хочет писать хороший защищённый код.

    Часть 1

    Часть 2

    Комментировать