These are chat archives for dru-io/Drupal

19th
May 2016
angurova
@angurova
May 19 2016 03:34
Привет
KarmaBot
@KarmaBot
May 19 2016 03:34
Прувет, @angurova!
angurova
@angurova
May 19 2016 03:35
Подскажите, в Form API D7 предусмотрена какая-либо защита от SQL-иньекций?
boolboost
@boolboost
May 19 2016 03:46
Орёшь что ли
Если говорить про формы то там есть защита в виде токенов
Если говорить про sql
angurova
@angurova
May 19 2016 03:48
Причем здесь твои токены, я спросила про SQL проверку.
boolboost
@boolboost
May 19 2016 03:48
То этим занимается db_update db_select или entity_query
angurova
@angurova
May 19 2016 03:49
т.е в любом случае вручную проверять в обработчике?
boolboost
@boolboost
May 19 2016 03:49
И она само мобой защина от инклюции
angurova
@angurova
May 19 2016 03:49
Спасибо )
KarmaBot
@KarmaBot
May 19 2016 03:49
@angurova, в этом чате принято добавлять имя пользователя, чтобы его поблагодарить.
angurova
@angurova
May 19 2016 03:49
@boolboost спасибо ) #2
KarmaBot
@KarmaBot
May 19 2016 03:49
Спасибо (+1) для @boolboost принято! Текущая карма +7.
boolboost
@boolboost
May 19 2016 03:50
Не нужно проверять на sql инклюцию если не пишишь собственные запросы в db query
Не правильно
Тут примеры как делать правильно что бы их инклюции не было
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:01
@angurova используются плейсхолдеры для защиты. конечно защита не дает 100% гарантий, но эффект есть
boolboost
@boolboost
May 19 2016 05:17
@AlexandrPoddubsky можно по подробнее о том почему не даёт гарантии?
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:17
@boolboost универсальной защиты нет
boolboost
@boolboost
May 19 2016 05:18
Мне интересны случаи
Где это не сработает
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:20
да я не помню уже. тоже как то озаботился этим. но забил. для большинсва случаев выше крыши хватает
озаботился я этим несколько лет назад. начал xss ундер атакс. на какой то форме вредрил куй, и вроде здесь был слава из кпсс, на русском ессно - скрин и как отправил дрису. получил ответ типа а дальше то не сможете взломать- ответил что проблемку вам нашел. исправляйте
прикольно было и самое главное время было дрюкать. юзал обычные мозиловские аддоны
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:25
сейчас времени нет и прокрастинация не велит
boolboost
@boolboost
May 19 2016 05:28
По моему тут ещё сильно зависит от базы данных какая тогда использовалась
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:28
да нет
boolboost
@boolboost
May 19 2016 05:29
В друпал для со всем заморочености есть же фильтры от xss
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:30
я говорю что я с них начал. время было тогда
смотрите - в любой системе есть дырки. в любой. вопрос безопасности стоит только в двух вещах- кто быстрее их найдет и кто быстрее их закроет и всё
boolboost
@boolboost
May 19 2016 05:31
Да
Но как это относится к простым разрабочикам сайтов
Не думаю что там такие простые уязвимости
Наверника только патчить ядро
И тд
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:33
к простым только к своевременным апдейтам ядра и использовании предоставленных методов защиты и все
boolboost
@boolboost
May 19 2016 05:33
В общем итог такой: защита есть и она достаточная пока не найдут дыру
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:33
ну типа того
boolboost
@boolboost
May 19 2016 05:34
Ну да обновление это беда((
Обычно когда делаю правки у других
Вижу что обновления не закачивают
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:35
по большому счету чем меньше контрибов тем лучше
и чем меньше кода в контибах тем меньше уязвимостей
boolboost
@boolboost
May 19 2016 05:50
Ну тогда больше своего кастома
Не факт что он принесёт меньше уязвимостей
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 05:59
@boolboost вы каким редактором пользуетесь кстати
boolboost
@boolboost
May 19 2016 07:34
phpstorm
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 07:52
на сайте
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 08:02
вообще хотелось узнать у присутвующих. сталкивался ли кто с таким. мне нужно чтобы были редакторы. но у каждого редактора был только определеный круг людей которых они могут проверять. ну и конечно дефолтное чтобы осталось . через роль
boolboost
@boolboost
May 19 2016 08:09
Я юзаю markdown
А сейчас думаю на параграфы перейти
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 08:09
чем он лучше буе
boolboost
@boolboost
May 19 2016 08:10
Тем что там просто текст)
Alexandr.Poddubsky
@AlexandrPoddubsky
May 19 2016 08:10
так в буе тож самое
boolboost
@boolboost
May 19 2016 08:10
Тогда это дело привычки
Буе не юзал
Просто после github понравилось
Anatoly
@politsin
May 19 2016 10:53
тут есть поиск по чату?
помнится как-то пролетала ссылка на модуль, который делает апи-ключи для юзеров
  • нашёл
boolboost
@boolboost
May 19 2016 11:50
@politsin А поиск нашёл?
Anatoly
@politsin
May 19 2016 13:42
поиск нет, не нашёл
зато у меня есть новый глупый вопрос по Д8:
при создании нового типа материала всегда создаётся поле Body и при создании сервисов начинает подбешивать. Есть какие-нибудь инструменты, которые позволяют это отлкючить?
boolboost
@boolboost
May 19 2016 13:54
@politsin по моему тебе нужно понять как всё работает в друпал)
Изучать код
А так воопросы нормальные
Например кто изобрёл конструкцию if?