https://opennet.ru/openforum/vsluhforumID3/15378.html Группа elhacker.net провела небольшое исследование и пришла к выводу (http://www.opennet.ru/base/cgi/1147797595_4096.txt.html), что практически 90% исследованных продуктов на PHP (19 из 21 в случайной выборке) позволяют узнать текущий путь их установки в системе ("Full Path Disclosure" уязвимость).<br><br><br>С первого взгляда проблема выявления пути установки не представляет реальной угрозы и выглядит несерьезно, но позволяет оценить общее отношение большинства PHP разработчиков к проблемам безопасности, игнорирующих основы безопасного программирования.<br><br><br>В качестве другого примера может выступить практически ежемесячное нахождение серьезных проблем безопасности в популярных открытых системах управления конетном (http://wiki.opennet.ru/CMSComparison) и движках форумов (http://wiki.opennet.ru/ForumComparison). Например, на этой неделе прошла информация о выявлении новых SQL-Injection проблем в YapBB и phpBB.<br><br>URL: http://www.opennet.ru/base/cgi/1147797595_4096.txt.html<br>Новость: http://www.opennet.ru/opennews/art https://opennet.ru/openforum/vsluhforumID3/15378.html#39 Wed, 05 Sep 2007 08:43:18 GMT &gt;&gt;Любой динамичесчий контент это одна большая дыра :) <br>&gt;&gt;Программист может быть очень квалифицированным, но он не хакер, который специализируется именно <br>&gt;&gt;на поиске таких уязвимостей. Так как практически невозможно написать качественный код <br>&gt;&gt;большоего проекта на том что по определению дыряво как решето. Это <br>&gt;&gt;относится не только к PHP. <br>&gt;<br>&gt;А что программист уже не компетентен делать простые проверки входящих параметров ? <br>&gt;Все зло от этого, и никакого хакерства, просто смотри и проверяй <br>&gt;что приходит от юзера. <br><br>Неправы! Пример: скрипт подключается к базе, хакер (читать кракер) прибивает хост с субд к примеру дос-атаками или использует SQL-иньекции чтобы подвесить базу, далее скрипт не ощутив коннекта к базе рапортует: "мля немогу подконектится к базе такойто, юзер такойто, пароль такойто..." Реально? Я так поимел одного асп-ешника, а сайт крупной торговой фирмы :) было весело вообщем. БЕЗГРАМОТНОСТЬ ПРОГРАММЕРОВ ПОРАЖАЕТ ПОРОЙ :)<br> https://opennet.ru/openforum/vsluhforumID3/15378.html#38 Thu, 25 May 2006 10:36:32 GMT Я тоже согласен со всем сказаным выше. Работал в московсом институте (причем не из самых плохих) и при этом часто общался со студентами с кафедры информационных технологий. Вы бы видели, как ужасно там преподают! Сидят там старперы всякие, которые гоняют ребят в основном, по математике, а прикладных знаний не дают вообще. Например, приходит ко мне парень и показывает php код и спрашивает, почему он у него не работает. А у него все вызовы выглядят как func_(args), а там где я написал _ у него стоят пробелы. Когда я спросил, почему у него такие глупые ошибки, им чего, основы синтаксиса то же самой сюхи не объясняли? - он сказал, что нет, они ряды всякие раскладывают в основном. А парень то далеко не глупый. Старается, я вижу. А вы бы видели, как им объясняли SQL! Бабуля какая то им это читала. Бабуля! А еще она им читает математические принципы работы RSA, не обяснив им даже сначала основных принципов работы алгоритмов с открытым ключом. Не объяснила даже студентам, что означает mod в ее лекциях. Что такое ариф https://opennet.ru/openforum/vsluhforumID3/15378.html#37 Sat, 20 May 2006 15:58:48 GMT читаем название ньюса, а не про то что кого закодировал!!!! или желает декодировать..... https://opennet.ru/openforum/vsluhforumID3/15378.html#36 Fri, 19 May 2006 09:52:01 GMT &gt;сравните http://ru.php.net/manual/ru/function.stripslashes.php и http://ru.php.net/manual/ru/function.addslashes.php <br><br>Уупс! Конечно же я имел ввижу addSlashes().. названия перепутал, т.к. давно на РНР ничего не писал %)<br> https://opennet.ru/openforum/vsluhforumID3/15378.html#35 Fri, 19 May 2006 09:38:21 GMT &gt;&gt;А можно пример в студию для экранирования такой классики как ' <br>&gt;&gt;or 'a'='a <br>&gt;<br>&gt;<br>&gt;stripSlashes() ? <br>сравните http://ru.php.net/manual/ru/function.stripslashes.php и http://ru.php.net/manual/ru/function.addslashes.php https://opennet.ru/openforum/vsluhforumID3/15378.html#34 Fri, 19 May 2006 06:28:51 GMT &gt;&gt;А можно пример в студию для экранирования такой классики как ' <br>&gt;&gt;or 'a'='a <br>&gt;<br>&gt;В PEAR quoteSmart не подойдёт? Которая для MySQL в итоге вызывает mysql_real_escape_string. <br>&gt;<br>&gt;Просто я PEAR::DB частенько пользуюсь.. <br><br>А PEAR quoteSmart исходники досконально просмотренны ?:) оно во всех случаях вернет реальную строку или есть шанс что нет ?<br>ну и второй вопрос, многие высококвалифицированные программисты знают про такие уязвимости ?<br> https://opennet.ru/openforum/vsluhforumID3/15378.html#33 Fri, 19 May 2006 02:53:32 GMT &gt;А можно пример в студию для экранирования такой классики как ' <br>&gt;or 'a'='a <br><br><br>stripSlashes() ? https://opennet.ru/openforum/vsluhforumID3/15378.html#32 Thu, 18 May 2006 20:42:33 GMT &gt;А можно пример в студию для экранирования такой классики как ' <br>&gt;or 'a'='a <br><br>В PEAR quoteSmart не подойдёт? Которая для MySQL в итоге вызывает mysql_real_escape_string.<br>Просто я PEAR::DB частенько пользуюсь.. https://opennet.ru/openforum/vsluhforumID3/15378.html#31 Thu, 18 May 2006 16:18:55 GMT ps. offtopic<br>Зазенденые скрипты не проблема, могу раскриптовать зазенденые файлы... <br>Будет не дорого стоить ;)