Where communities thrive


  • Join over 1.5M+ people
  • Join over 100K+ communities
  • Free without limits
  • Create your own community
People
Activity
KarmaBot
@KarmaBot
Спасибо (+1) для @boolboost принято! Текущая карма +6.
angurova
@angurova
Привет
KarmaBot
@KarmaBot
Прувет, @angurova!
angurova
@angurova
Подскажите, в Form API D7 предусмотрена какая-либо защита от SQL-иньекций?
boolboost
@boolboost
Орёшь что ли
Если говорить про формы то там есть защита в виде токенов
Если говорить про sql
angurova
@angurova
Причем здесь твои токены, я спросила про SQL проверку.
boolboost
@boolboost
То этим занимается db_update db_select или entity_query
angurova
@angurova
т.е в любом случае вручную проверять в обработчике?
boolboost
@boolboost
И она само мобой защина от инклюции
angurova
@angurova
Спасибо )
KarmaBot
@KarmaBot
@angurova, в этом чате принято добавлять имя пользователя, чтобы его поблагодарить.
angurova
@angurova
@boolboost спасибо ) #2
KarmaBot
@KarmaBot
Спасибо (+1) для @boolboost принято! Текущая карма +7.
boolboost
@boolboost
Не нужно проверять на sql инклюцию если не пишишь собственные запросы в db query
Не правильно
Тут примеры как делать правильно что бы их инклюции не было
Alexandr.Poddubsky
@AlexandrPoddubsky
@angurova используются плейсхолдеры для защиты. конечно защита не дает 100% гарантий, но эффект есть
boolboost
@boolboost
@AlexandrPoddubsky можно по подробнее о том почему не даёт гарантии?
Alexandr.Poddubsky
@AlexandrPoddubsky
@boolboost универсальной защиты нет
boolboost
@boolboost
Мне интересны случаи
Где это не сработает
Alexandr.Poddubsky
@AlexandrPoddubsky
да я не помню уже. тоже как то озаботился этим. но забил. для большинсва случаев выше крыши хватает
озаботился я этим несколько лет назад. начал xss ундер атакс. на какой то форме вредрил куй, и вроде здесь был слава из кпсс, на русском ессно - скрин и как отправил дрису. получил ответ типа а дальше то не сможете взломать- ответил что проблемку вам нашел. исправляйте
прикольно было и самое главное время было дрюкать. юзал обычные мозиловские аддоны
Alexandr.Poddubsky
@AlexandrPoddubsky
сейчас времени нет и прокрастинация не велит
boolboost
@boolboost
По моему тут ещё сильно зависит от базы данных какая тогда использовалась
Alexandr.Poddubsky
@AlexandrPoddubsky
да нет
boolboost
@boolboost
В друпал для со всем заморочености есть же фильтры от xss
Alexandr.Poddubsky
@AlexandrPoddubsky
я говорю что я с них начал. время было тогда
смотрите - в любой системе есть дырки. в любой. вопрос безопасности стоит только в двух вещах- кто быстрее их найдет и кто быстрее их закроет и всё
boolboost
@boolboost
Да
Но как это относится к простым разрабочикам сайтов
Не думаю что там такие простые уязвимости
Наверника только патчить ядро
И тд
Alexandr.Poddubsky
@AlexandrPoddubsky
к простым только к своевременным апдейтам ядра и использовании предоставленных методов защиты и все
boolboost
@boolboost
В общем итог такой: защита есть и она достаточная пока не найдут дыру
Alexandr.Poddubsky
@AlexandrPoddubsky
ну типа того
boolboost
@boolboost
Ну да обновление это беда((
Обычно когда делаю правки у других
Вижу что обновления не закачивают
Alexandr.Poddubsky
@AlexandrPoddubsky
по большому счету чем меньше контрибов тем лучше
и чем меньше кода в контибах тем меньше уязвимостей
boolboost
@boolboost
Ну тогда больше своего кастома
Не факт что он принесёт меньше уязвимостей
Alexandr.Poddubsky
@AlexandrPoddubsky
@boolboost вы каким редактором пользуетесь кстати
boolboost
@boolboost
phpstorm