[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Ссылка на папку
Форум PHP программистов > PHP для начинающих
Страницы: 1, 2, 3, 4, 5, 6
inpost
18.05.2017 - 22:13
killer8080
Если кто-то хочет проверить код целиком, то достаточно попросить ТС показать код целиком wink.gif

Нельзя утверждать, что код дырявый лишь потому, что ты сам его не видел целиком. Я вот не видел код гугла, я же не утверждаю, что он дырявый. Выше были предложены 4 варианта как можно за строчки с 1 по 28 сделать данный код безопасным. Мне кажется, что один ещё вариант был упущен, грубо говоря их 5 приходят на ум.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
killer8080
18.05.2017 - 22:14
Цитата (twin @ 18.05.2017 - 22:11)
Ну тогда же были.

это факт
Цитата (twin @ 18.05.2017 - 22:11)
И очень даже хорошо обрубались в самом зародыше модификацией суперглобалов)))

ну это был костыль на самом деле в случаях когда невозможно повлиять на php.ini smile.gif
Ron
18.05.2017 - 22:42
Цитата (inpost @ 18.05.2017 - 21:48)
Почему нельзя?

Тебе уже ответили. =) Добавлю еще что работающий код != хороший код, даже если он без багов и без дыр в безопасности.

inpost
18.05.2017 - 23:31
Ron
А что ещё надо от кода?
1) Простота
2) Скорость
3) Без багов
4) Безопасен
5) Понятный код

5 принципа идеального кода. На всё отвечает. Ах да, забыл 6-ый принцип, это модные тенденции в ущерб первым 5-и правилам.

Хотя какое это имеет отношение к двум темам:
1) Ошибка ТС. Ему так до сих пор не помогли
2) Безопасность. Уже доказано, что код безопасен.

Давай не будем оффтопить. Безопасность обсудили и выяснили, что код защищен. А предпочтения каждого отдельного программиста нет смысла обсуждать в маленькой группе людей, по крайней мере мне нет смысла обсуждать. Вот когда среди нас попадутся крутейшие программисты современности, тогда можно будет что-то обсудить. А так, сидим тут любители сайтов-визиток, безработные, лентяи и тунеядцы. Ну и ещё парочку уверенных в себе личностей, достаточно уверенных, чтобы не слушать мнения других людей.

Дискуссии о лучшем коде не будет и это бессмысленно общаться в данной теме. Кто ты такой? Ты неизвестный мне Ron, парень, который немного времени в программировании и прочитал несколько умных книг. Возможно что-то у тебя мудрое есть, но другая часть головы забита глупостями как и остальных. С другой стороны логика PHP-разработчиков, которые создают переменную не константой, значит они как бы говорят: "вот переменная, её можно модифицировать". И спустя года в высшем свете PHP даже идей не было сделать $_GET и $_POST константами.

Как-то так, без обид. Давай лучше сделаем что-то полезное, поможем ТС всё же решить его проблему wink.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
AllesKlar
18.05.2017 - 23:55
inpost
Будь мужиком (С), признайся, что ты королева, а код твой говно, как уже ВСЕ, чье мнение могло бы быть ценное это тебе сказали.

И пройди уже, в конце концов курс Евгения Попова, чтоли...
А то стыдно прям за "эксперта".

Надеюсь, теперь тебе будет спаться спокойнее.

И да, будь мужиком (С)... признайся.... мужиком (С) ...

Выбери для себя другие критерии мужества, а не ссаться кипятком в интернете (дарю народную мудрость)

_____________
[продано копирайтерам]
inpost
18.05.2017 - 23:59
AllesKlar
Мне твоё мнение не интересует, меня лишь интересовало доказать всем, что ты говоришь глупости и я это сделал wink.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
AllesKlar
19.05.2017 - 00:06
Цитата (inpost @ 18.05.2017 - 21:59)
AllesKlar
Мне твоё мнение не интересует, меня лишь интересовало доказать всем, что ты говоришь глупости и я это сделал wink.gif

Будь мужиком (С)
Затребуй у каждого, кто в этой теме высказался, подтвердить, что ты это доказал.
Ты же им всем доказал.
Будь мужиком (С) Отвечай за слова (С).

пусть Ron, killer8080, waldicom, twin скажут, что это был не говнокод, ты же им это доказал (а они-то и не знают!!!!)

Будь мужиком (С) biggrin.gif


_____________
[продано копирайтерам]
AllesKlar
19.05.2017 - 00:08
inpost
Ладно, иди с миром... ты меня достаточно потешил.

_____________
[продано копирайтерам]
inpost
19.05.2017 - 00:27
AllesKlar
Мы не обсуждали тут говнокод, мы обсуждали является ли данный код уязвимым. Цитирую, если ты забыл:
Цитата
хана всему серверу. Всю файловую систему выведешь.

Это единственная тема о которой я говорил. Я доказал всем, что ты не прав. Мне этого достаточно laugh.gif laugh.gif laugh.gif
Всё остальное лишь твоя защита при условии твоей ненависти к моей персоне. А тут не просто ты меня ненавидишь, так ещё и я подчеркнул твою неопытность в программировании, невнимательность и отсутствие логики. Я прекрасно понимаю, что забомбит даже у нормального человека, только вот приятели промолчат, незнакомцы могут не сдержаться, но когда ты являешься ненавистником, то это уж тем более бомбалейло ещё то laugh.gif Не зря же ты перешел на легкие оскорбления. laugh.gif laugh.gif laugh.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
AllesKlar
19.05.2017 - 00:58
inpost
Я тебя ненавижу? smile.gif С чего это вдруг?
Ты шут, потешник, незрелый юнОша (хоть уже и годиков есть)
Твоя персона выглядит в моих глазах примерно вот так:



_____________
[продано копирайтерам]
Ron
19.05.2017 - 01:02
Цитата (inpost @ 18.05.2017 - 23:31)
Ты неизвестный мне Ron

Цитата (inpost @ 18.05.2017 - 23:31)
который немного времени в программировании и прочитал несколько умных книг

И вот тут логика взмолилась о помощи.

Инпост, ты напрасно даешь AllesKlar подобные характеристики. Они играют против тебя, а не против него. wink.gif
twin
19.05.2017 - 04:07
Цитата (inpost @ 18.05.2017 - 20:27)
Мы не обсуждали тут говнокод, мы обсуждали является ли данный код уязвимым.
Данный код является уязвимым. Это неоспоримый факт.
Тот код, что в загадочных 28 строках, которые ты стесняешься показать, может и нет. Но это
Цитата
хана всему серверу. Всю файловую систему выведешь.
относилось именно к данному коду. К этой строчке 
include './modules/'.$_GET['module'].'/'.$_GET['page'].'php';
Всё остальное не имеет значения. Остальной код не данный, так как ты его не дал. :) Ты может там вообще собственный интерпретатор задействовал, который $_GET константами представляет. :) Это никому не интересно. Эта строчка уязвима сама по себе, и этого достаточно.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
waldicom
19.05.2017 - 07:51
На данной степени болезни пациенту не доказать ничего. Он просто бегает по коридорам с криками:"я всех наипал, я великий". Таких больных принято успокаивать, гладить по головке ну и конечно сильнейшие успокоительные.

_____________
Свои мозги еще никто не отменял.
Телепатов нету.
inpost
19.05.2017 - 10:31
twin
Тогда ты взломай, если ты тоже считаешь код уязвимым. Или $module менее уязвима чем $_GET['module'] в твоём понятии?

Правильнее говорить: существует множество неизвестных при условии которых этот код может быть уязвимым, а может быть и нет. Если тебе кажется, что заменить $_GET['module'] на $module или Core::$module, или ещё чего MODULE приведут к созданию кода безопасным, то ты глубоко ошибаешься, так как можно наговнокодить и любой из вариантов сделать уязвимым.

Типичный пример современного программирования:
$module = $_GET['module'];

Вот к чему приводит подобного плана заблуждения, и такие строчки повсеместно у новичков. А причина очень простая, они вычитали на форумах, что работать с $_GET['module'] не безопасно, а если пишут $module - уже безопасно.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
twin
19.05.2017 - 11:10
Цитата (inpost @ 19.05.2017 - 06:31)
Правильнее говорить: существует множество неизвестных при условии которых этот код может быть уязвимым, а может быть и нет.
Другими словами, ты хочешь сказать, что если видишь на двери сломаный замок, нужно говорить - это помещение уязвимо, если только дальше нет бронированной двери, охранника с дубинкой или потбультерьера?

Если видишь сломанную дверь, так и говорят - дверь открывается гвоздем. Всё. Остальное ты притянул за уши.

Люди видят тот код, который есть. И он уязвим. Они могут его повторить, о чем и предупредил AllesKlar. Всё, что скрыто в твоих 28 строках никто не видит.

Цитата (inpost @ 19.05.2017 - 06:31)
Типичный пример современного программирования:
$module = $_GET['module'];
Правильный пример. Вот такой код вопросов бы не вызвал.
include './modules/'. $module .'/'. $page .'php';

Потому что то, что творилось до этого с переменнми - на совести разработчика. Но совать в строку чистый $_GET, это не просто моветон, это потенциальная уязвимость. Кто то посмотрит, и сделает так без 28 строк.

А кто то посмотрит в твой код, и охренеет. И напишет поверх свою обработку. Потому что хрен знает, что ты там наворотил выше. Если в коде чистый GET, значит он чистый. Ни модифицировать, ни валидировать его нельзя по причине полного отсутствия прозрачности.

Так что тут ты не прав со всех сторон.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.