Программирование, т. 2

бтв, рельсы по дефолту фильтруют xss + csrf + mass assignment + иньекции

 

вообще не надо думать о реализации защиты, она работает из коробки

это хорошо?

а что в этом плохого?

Разве что эти фильтры ужасно написаны и сильно снижают быстродействие

плохо то, что о защите не думают, этож рельсы лол, и так сойдет

бтв, рельсы по дефолту фильтруют xss + csrf + mass assignment + иньекции

 

вообще не надо думать о реализации защиты, она работает из коробки

это хорошо?

а что в этом плохого?

Разве что эти фильтры ужасно написаны и сильно снижают быстродействие

плохо то, что о защите не думают, этож рельсы лол, и так сойдет

А это заставляет задуматься

Изменено 25 июля 2012 пользователем SPYHunter

котаны, это нормально то что я присваиваю функции в js таким образом

var Api = {

one : function() {},

two : function() {},

....

}

или есть более разумные методы?

http://www.siliconrus.com/2012/07/stipster/

5. Ваш стартап должен быть сделан на Ruby on Rails

 

лол

бтв, рельсы по дефолту фильтруют xss + csrf + mass assignment + иньекции

 

вообще не надо думать о реализации защиты, она работает из коробки

это хорошо?

а что в этом плохого?

Разве что эти фильтры ужасно написаны и сильно снижают быстродействие

плохо то, что о защите не думают, этож рельсы лол, и так сойдет

 

Даже в самом конченном говнокоде на рельсах (если такое вообще бывает) в разы сложнее найти уязвимость, чем в подобном говнокоде на пхп.

Изменено 25 июля 2012 пользователем Vizakenjack

 

Даже в самом конченном говнокоде на рельсах (если такое вообще бывает) в разы сложнее найти уязвимость, чем в подобном говнокоде на пхп.

ну людей не заставляют задуматься. вот например веб формс в асп.нет считается плохим, т.к. там полная абстракция от хттп в сторону стейтфул приложения.

А, ну да, то есть охуенная защита из коробки это теперь недостаток

 

хватит нести хуйню

А, ну да, то есть охуенная защита из коробки это теперь недостаток

 

хватит нести хуйню

я не говорю, что это недостаток, но для начинающих это не очень хорошо. я вот например не знал о такой проблеме, как xss до определенного времени. при этом я был не подвержен этой уязвимости, т.к. использовал только хранимые процедуры и вообще реквест строкой вообще не пользовался. но вот такие познания были бы возможно полезны с самого начала

извиняюсь. я не о xss, а о sql injection говорил, но суть в том, что встроенная поддержка предупреждения xss есть и в web forms, что как бы лишает понимания жуниора сути этой проблемы

Изменено 25 июля 2012 пользователем rubish

Для начинающих встроенная защита это ОХУЕННО. Думаешь, те кто начинают делать сайт, заботятся о безопасности?

 

Вот представь новичка, он изучил рельсы, запилил свой блог, спокойно пользуется, даже не знает что такое XSS. При этом его блог защищен от атаки. В чем недостаток то? В том, что он не знает про уязвимости? Ну так, почитает книжки, прокачает навыки, узнает в своё время, при этом ему не придется переписывать половину кода.

 

А какой-нить программер на пхп будет судорожно проверять весь свой проект на наличие всякого говна типо $_GET в запросах, или же отсутствии фильтрации на XSS. Вдруг у него там плейнтекст идёт, и запостив в комменты простейшую строку <script>alert(1)</script> получим внезапную табличку.

 

Я не говорю что в рельсах такая охуенная защита, которую невозможно сломать. Я говорю о том, что она включена по умолчанию, вне зависимости, заботится ли о безопасности программист или нет.

 

Кто тут у нас в треде на пхп учится писать? Запилите исходники ваших проектов, полюбому у вас есть дырки в безопасности.

ну да, мне для записи в бд приходилось проверять таким образом (быдлокод за пару минут, не что иное)

 

if(is_numeric($_GET['uid']) and isset($_GET['type']) and isset($_GET['game'])) {

if($_GET['type'] == 'set' or $_GET['type'] == 'remove' and $_GET['game'] == 'dota2' or $_GET['game'] == 'lol') {

И последнее условие так и задумано или в пыхе другие приоритеты выполнения операций?

Я про (a||b&&c||d).

Изменено 25 июля 2012 пользователем Ubububu

зачем тебе столько проверок? Почему GET если ты сам говоришь что надо записывать в базу?

 

Давай полностью код, хотя бы того файла. так и быть, смеяться не будем

Изменено 26 июля 2012 пользователем Vizakenjack

:CONFIG

SET CONFIG_FILE=%*

IF NOT EXIST "%CONFIG_FILE%" (

CALL :EXIT Configuration file "%CONFIG_FILE%" was not found

) ELSE (

FOR /f "eol=# delims== tokens=1,2" %%I IN (%CONFIG_FILE%) DO (

SET %%I=%%J

)

)

GOTO :EOF

зачем тебе столько проверок? Почему GET если ты сам говоришь что надо записывать в базу?

 

Давай полностью код, хотя бы того файла. так и быть, смеяться не будем

Столько проверок, потому что запросы отправлялись с фронта, а я параноик

там простые данные, хотя да, ты прав, лучше было использовать POST

Да смейтесь, лол. Если бы я не понимал, что я быдлокодер то не выкладывал бы сюда свои "произведения", а дальше идет просто sql запросы.

 

И последнее условие так и задумано или в пыхе другие приоритеты выполнения операций?

Я про (a||b&&c||d).

честно хз D:

но работает как надо

Для начинающих встроенная защита это ОХУЕННО. Думаешь, те кто начинают делать сайт, заботятся о безопасности?

 

Вот представь новичка, он изучил рельсы, запилил свой блог, спокойно пользуется, даже не знает что такое XSS. При этом его блог защищен от атаки. В чем недостаток то? В том, что он не знает про уязвимости? Ну так, почитает книжки, прокачает навыки, узнает в своё время, при этом ему не придется переписывать половину кода.

 

А какой-нить программер на пхп будет судорожно проверять весь свой проект на наличие всякого говна типо $_GET в запросах, или же отсутствии фильтрации на XSS. Вдруг у него там плейнтекст идёт, и запостив в комменты простейшую строку <script>alert(1)</script> получим внезапную табличку.

 

Я не говорю что в рельсах такая охуенная защита, которую невозможно сломать. Я говорю о том, что она включена по умолчанию, вне зависимости, заботится ли о безопасности программист или нет.

 

Кто тут у нас в треде на пхп учится писать? Запилите исходники ваших проектов, полюбому у вас есть дырки в безопасности.

пиздато сравнивать вебфреймворк с языком программирования?

офк пиздато, веб фреймворк по дефолту пизже практически всегда

 

поэтому ror >>> php

 

а фреймворки на пхп по порогу вхождения не уступают рельсам, нет никакого смысла их учить для новичка

Изменено 26 июля 2012 пользователем Vizakenjack

Я рак ебаный,выручайте.Не создает базу данных.Соединение норм,я просто данные поменял для пд.

 

 

"mysql_connect"

Думаю надо было начинать с этого. Начни с PDO, а также с функций

Изменено 26 июля 2012 пользователем SPYHunter

"mysql_connect"

Думаю надо было начинать с этого. Начни с PDO, а также с функций

???

"mysql_connect"

Думаю надо было начинать с этого. Начни с PDO, а также с функций

???

http://php.net/