[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Ссылка на папку
Форум PHP программистов > PHP для начинающих
Страницы: 1, 2, 3, 4, 5, 6
inpost
19.05.2017 - 11:16
twin
В таком случае мне нечего добавить. Я всё сказал. $_GET['module'] может быть безопасным, а $module - может быть уязвимым. Спор на эту тему бессмысленный, но ты продолжаешь спорить. Выходит это спор ради спора.

include './modules/'. $module .'/'. $page .'php';

Я считаю этот код уязвимым, так как я не знаю что за код был написан ранее. ;) Он как минимум выводит ошибку о неизвестной переменной :lol:

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
twin
19.05.2017 - 11:19
Цитата (inpost @ 19.05.2017 - 07:16)
Выходит это спор ради спора.

Я не спорю. Я утверждаю. $module - может быть уязвимым, а $_GET['module'] уязвим точно. Если не наговнокодить выше.

Ты сейчас хочешь сказать, что компьютер совершенно неуязвим для вирусов, если его выключить и закопать на три метра под землю.

Но так не делается безопасность. Ну может только на твоих уроках...

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
inpost
19.05.2017 - 11:24
twin
Мы наговнокодили по твоему представлению идеального кода. После говнокода он стал безопасным? Стал. Значит код выше безопасный используемый ТС.

Или если он точно уязвим (прям 100%), тогда взломай. Я выше ссылку давал на взлом. wink.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Гость_chee
19.05.2017 - 11:28
inpost, тебе стоит признать, что ты был не прав, а именно в суждениях касаеющихся этой строки. Профессионал всегда осознает свои ошибки и готов их принять и признаться другим. По сути в остальном ты будешь(возможно) прав, эта тема развивается лишь благодоря тому, что у тебя слишком большая гордость, что бы признатт мелкие ошибки в своих суждениях.

inpost
19.05.2017 - 11:33
Гость_chee
Я не обсуждаю эту строчку, я обсуждаю код ТС. Именно его код, каким бы он говнокодом не был бы, пусть даже самый худший код на свете, правда одна - его код не имеет уязвимостей. Это вам стоит признать это!

Я этот код развернул на сервере. Если его говнокод, говнокод мира, топ-1 худших кодов мира имеет уязвимость, то взломайте меня, или признайте, что код безопасен в виду специфики написания этого кода.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
chee
19.05.2017 - 11:55
inpost, я понимаю твою позицию, но ты ошибся не в техническом плане, а ведении дискуссии.

Последовательность.
1. Приходит ТС, говорит, что код не работает и кидает строчку.
2. Код который представил ТС мы будем называть "a", но нужно учитывать, что есть контекст (целый код) "b", где "a" является деталью контекста "b".
3. ТС не делает акцент на "b", а делает на "a"
4. AllesKlar критикует деталь "a" без учета контекста "b" (кстати тут ошибка AllesKlar)
5. Ты явно имеющий отношение (насколько я понял) к контексту "b", заявляешь, что деталь "a" неуязвима, при этом не раскрывая контекст "b" (тут ты не прав, и это твоя ошибка)
6. По итогу ситуации такова, идет обсуждение детали "a", но только ты ее воспринимаешь в контексте "b", когда для всех остальных деталь "a" является контекстом.

Выход для тебя, признать, что деталь "a", без учета контекста "b", уязвима, но если её рассматривать в контексте "b", то деталь "a" будет неуязвима.

Проблема не в ваших компетенциях, проблема в том что вы воспринимаете объект разговора по разному.

_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
inpost
19.05.2017 - 12:47
chee
Я, зная данный код, утверждаю, что в нём нет уязвимости. Это значит, что нет смысла на это акцентировать внимание сейчас и стоит сосредоточиться на определении проблемы ТС. Тут же очевидна причина, почему у ТС происходит ошибка. На это я и делаю упор, не стоит обсуждать качество кода, помогите человеку решить его проблему быстрее.
А то, что я знаком с этим кодом я говорю этой фразой:
Цитата
Всё ок с безопасностью твоего кода.


Предположим, я не был знаком с данным кодом, разве со стажем почти в 10 лет я мог бы утверждать, что данная строчка кода вырванная из контекста безопасна или не безопасна? Нет, конечно же. Если я делаю жесткое утверждение, значит я прекрасно понимаю о чём говорю. С другой стороны может быть я специально вру ТС чтобы запутать его ещё больше или троллю его ради юмора? Если люди и вправду считают пункт второй, то мне с этими людьми не о чем говорить, они просто меня не уважают как личность, если готовы не разобравшись в ситуации делать выводы, что "я плохой человек". Это всё дело в отношении к человеку, если ты относишься к нему как к говну, то и он будет относиться к тебе так же. По крайней мере такова моя психология, которая 100% может отличаться от твоей wink.gif

Но самое забавное в этой ситуации то, что люди просто не понимают как работает PHP, если они пытаются взломать мой поддомен laugh.gif . Понимаешь на сколько это абсурдная ситуация? Возможно этим "бесполезным спором" я наконец-то нескольким людям на форуме подкорректирую знания. Способов 5 я насчитал разных, как при помощи одного лишь PHP между строчками 1 и 28 создать ту строчку кода безопасной. И эти люди до сих пор уверены, что я не знаком ни с одним из этих подходов, раз я не смог защититься... Хотя, на самом деле, это они не знают эти способы как сделать код безопасным, именно поэтому и пытаются взломать. Считай что практикой я повышаю их квалификацию и за это не беру ни гроша laugh.gif Выходит я крайне благороден, раз учу людей совершенно бесплатно и развиваю их логическое мышление и так же PHP навыки. laugh.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
twin
19.05.2017 - 12:55
Цитата (inpost @ 19.05.2017 - 08:47)
Возможно этим "бесполезным спором" я наконец-то нескольким людям на форуме подкорректирую знания. Способов 5 я насчитал разных, как при помощи одного лишь PHP между строчками 1 и 28 создать ту строчку кода безопасной.
Очень самоуверенный вьюнош. smile.gif
Можно насчитать 100500 способов, но все они будут неприемлимым говнокодом. Если в include вставить GET. Чего ты хочешь подкорректировать? Говнокодить научить? Меня ты в этом все равно не переплюнешь. biggrin.gif

chee
Все гораздо проще.

1. Приходит ТС, говорит, что код не работает и кидает строчку.
2. AllesKlar критикует деталь "a" без учета контекста "b" (кстати тут ошибка AllesKlar нет никакой ошибки, он отреагировал на уязвимую строку)
3. Приходит inpost и заявляет, что если хорошенько поговнокодить, то уязвимости не будет.

Так с этим никто и не спорил. Но факт остается фактом, строчка уязвима. Остальное притянуто за уши, ибо цивилизованного метода защиты этого кода просто нет в природе.

А натворить можно чего угодно. Можно даже PHP на русский язык перевести. smile.gif Только кому от этого польза?

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
inpost
19.05.2017 - 12:59
twin
Уязвимая - взломай. Не уязвимая, тогда признай, что не уязвимый говнокод, самый говнокодистый во всём мире, но он безопасен wink.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
twin
19.05.2017 - 13:04
Цитата (inpost @ 19.05.2017 - 08:59)
Уязвимая - взломай.
Говнокод убери, взломаю. С тем, что это безопасно, никто не спорил. Вот новость то... Я могу наговнять гораздо меньше 28 строк, он будет безопасным. Но это так не делается, нельзя безопасность осуществлять за счет говнокода. Тут нужно приоритеты правильно расставлять, о чем AllesKlar и говорил. Ты решаешь одну проблему, а это решение тянет за собой кучу других.

И ты пытаешься этому учить. Да еще не новичков вовсе. biggrin.gif

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
Ron
19.05.2017 - 20:20
Вся комичность ситуации, что спор ведет преподаватель инпост, который (как любой другой нормальный наставник) должен всячески оберегать людей от говнокода и плохих решений.

тыц
Пытается учить и кого! Сам же, между делом, строит прокси через наследование (call super), урок №20. В платных виртуальных курсах, прошу заметить, и не дешевых!


inpost
19.05.2017 - 20:50
twin
Ну раз никто не спорит и все согласны, что код безопасен, то я покидаю данную тему wink.gif

Ron
Ой беда-то какая laugh.gif laugh.gif laugh.gif Но учить тебя не собираюсь, даже не пытайся выжать из меня информацию wink.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
AllesKlar
19.05.2017 - 21:07
Цитата (inpost @ 19.05.2017 - 18:50)
Ну раз никто не спорит и все согласны, что код безопасен

Я не согласен.
Приведи пример уязвимого кода.
ВНИМАНИЕ! Будь осторожен, т.к. в строках 1-28, приведенного тобой уязвимого кода, может быть что угодно, в том числе exit;
Поэтому, подумай хорошо над примером.

Итак, с тебя пример уязвимого кода.
Или будь мужиком (С) и признай, что уязвимого кода впринципе не существует, это все выдумки, т.к. в строки 1-28 всегда можно вписать подпрогамму на ассемблере.

Сообщество ждет. Пример уязвимого кода или признания, что уязвимого кода не существует. Будь мужиком (С) Отвечай за слова (С)

_____________
[продано копирайтерам]
Ron
19.05.2017 - 21:10
Цитата (inpost @ 19.05.2017 - 20:50)
Ой беда-то какая

Да, именно беда, ты очень точно выразился! Заключается она в навязывании ложных ассоциаций ученикам. Потом придет такой на позицию мидла (если столь же наглый, как учитель), ему лид скажет сделать кэширование через прокси. А он вот это самое вот наговнякает. Ты же понимаешь какие будут последствия? wink.gif

То что ты сам не понимаешь паттернов и поэтому такие дикие ошибки в именовании классов, эт ладно, дело твоё.

Цитата (inpost @ 19.05.2017 - 20:50)
Но учить тебя не собираюсь, даже не пытайся выжать из меня информацию

http://coub.com/view/13p7ip9r
inpost
19.05.2017 - 21:15
AllesKlar
Пример уязвимого кода, ты сам его писал ранее. Забыл?
<?php
// index.php
error_reporting(-1);
ini_set('display_errors', 1);

echo 'BEFORE INCLUDE<br>';
include './modules/'.$_GET['module'].'/'.$_GET['page'];
echo '<br>AFTER INCLUDE';


Ron
Да не вопрос. Не хочешь быть дружелюбным, отправляйся в фильтр:
user posted image
И, прежде чем ты возмутишься, я тебе ранее в соседних темах писал быть более дружелюбным. Ну не хочешь, ну и пожалуйста, не буду с тобой дружить.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.