Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок"	+/–
Сообщение от opennews (?), 18-Дек-20, 13:24
В   WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, выявлена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54281
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от хацкер (?), 18-Дек-20, 13:25	+9 +/–
отличная новость!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

3. Сообщение от Аноним (3), 18-Дек-20, 13:28	+3 +/–
безопасность -- это не про похапешников
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #16, #25, #57

4. Сообщение от Аноньимъ (ok), 18-Дек-20, 13:38	+3 +/–
Никогда такого небыло, и вот, опять.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (6), 18-Дек-20, 13:47	–2 +/–
На Раст надо было переписывать.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 18-Дек-20, 13:47	+4 +/–
Сегодня еще не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7, #24

7. Сообщение от Аноньимъ (ok), 18-Дек-20, 13:51	–2 +/–
> Сегодня еще не было. Да было уже и не раз. Не о каждой же из миллиона дыр новости делают. Имхо, вордпресс одно из самых, если не самое, часто взламываемое ПО в мире. В вебе точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от OpenEcho (?), 18-Дек-20, 13:56	+4 +/–
Очень хотелось бы посмотреть на твои безопасные поделки... если ими пользуется хотя бы 1/5 часть юзеров этого похапэшика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

9. Сообщение от Аноним (3), 18-Дек-20, 13:58	+10 +/–
А вот и классический «аргумент» «Сперва добейся!» подъехал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #65

10. Сообщение от ДмитрийСССР (?), 18-Дек-20, 14:00	–2 +/–
Отличная новость. Надеюсь, когда-нибудь это похоронят и на смену придёт нормальная CMS.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14

11. Сообщение от OpenEcho (?), 18-Дек-20, 14:38	–5 +/–
> А вот и классический «аргумент» «Сперва добейся!» подъехал. Больше сказать нечего? Я так и думал что у тебя поделок мильёнов на 5 поменьше будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12, #17, #18

12. Сообщение от Аноним (3), 18-Дек-20, 14:48	+5 +/–
> Я так и думал Простое повторение «аргумента» «Сперва добейся!» не имеет ничего общего с думанием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #34, #44

13. Сообщение от YetAnotherOnanym (ok), 18-Дек-20, 14:53	–1 +/–
При разработке на "нормальных" CMS надо голову включать, а на WP можно всё делать левой ногой, ни о чём не заботясь (кстати, в этом авторам "нормальных" CMS брать бы пример с WP).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от ДимаРоссийскаяИмперия (?), 18-Дек-20, 15:00	+1 +/–
Ты про Друпал ничего не слышал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #15, #56

15. Сообщение от Бутерброд с рутением (?), 18-Дек-20, 15:24	–1 +/–
Ну они не так уж и сильно отличаются https://www.cvedetails.com/product/4096/Wordpress-Wordpress.... https://www.cvedetails.com/product/2387/Drupal-Drupal.html?v... И если сделать поправку на кол-во пользователей то думаю разница будет минимальна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26

16. Сообщение от VEG (ok), 18-Дек-20, 15:36	+11 +/–
В том чем пользуется полтора человека никто не ищет уязвимости. То чем пользуются миллионы - ищут. Вот и весь секрет. Если в том, чем вы пользуетесь, не находят уязвимости - это не говорит о том, что там нет уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #20, #37

17. Сообщение от Аноним (17), 18-Дек-20, 15:38	+/–
Я скажу. Дело в том, что порог вхождение в PHP ниже. И его часто даже не учат, а зазубривают только куски языка, чтобы править шаблоны CMS. Расцвет PHP был когда фреймворков для Java и ко. было мало и они были неудобны. Поэтому все эти уязвимостя тянутся от старого кода. Другими словами сейчас ни один знающий программист просто не пойдет что-то писать на PHP, отсюда не важно, что дело не в языке, а в кодерах - потому что нормальных кодеров PHP не получит. Ну и сам язык конечно не очень, для любых целей включая веб, есть куда лучшие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #45

18. Сообщение от Аноним (17), 18-Дек-20, 15:40	+/–
И да, у "поделок" на той же Java не меньше пользователей, а скорее больше. Если конечно в пользователи не засчитывать пользователей CMS, но тогда вы и пользователей сервисов на Java засчитывайте как например пользователей Spring Framework для справедливости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #32, #46, #66

19. Сообщение от Ковид2024 (?), 18-Дек-20, 16:33	+/–
А имя давать в виде хэша нельзя?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #39

20. Сообщение от Ковид2024 (?), 18-Дек-20, 16:34	+4 +/–
Но сохранять файлы по хэшу мы всё равно не будем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от Аноним (21), 18-Дек-20, 16:53	+/–
Это уже вторая критическая уязвимость в этом плагине на моей памяти.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

22. Сообщение от Аноним (22), 18-Дек-20, 17:15	+2 +/–
Вся проблема в сишных дыренях говорили растоманы. Вся проблема в указателях говорили растоманы. Вся проблема в динамической памяти говорили растоманы. А пэхаписты ничего не говорили, просто писали на безопасном языке новые дырени. Привет фрактал.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Алекс (??), 18-Дек-20, 17:26	+/–
Гыыы. Тонко, тонко. Не все поймут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #35

25. Сообщение от Аноним Анонимович Анонимов (?), 18-Дек-20, 17:26	+10 +/–
Ошибка допущена программистом, который писал обработчик входных данных. При чём тут PHP? В PHP есть https://www.php.net/manual/en/filter.filters.misc.php фильтр, который позволяет свои функции для валидации входных данных написать. Кому-то было неизвестно или лень написать проверку строки имени файла. Либо ошибка допущена на этапе проектировании. Сарказм тут совершенно неуместен так как подобная ошибка характерна для любого _интерпретируемого_ языка программирования. Даже в строготипизированных ЯП подобного плана ошибки не редкость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #29, #55

26. Сообщение от Алеша (?), 18-Дек-20, 17:44	+1 +/–
>  не так уж и сильно отличаются ну кроме того, что у drupal чуть ли не наименьшее кол-во уязвимостей из всех, сколь-либо распространенные CMS на пхп. а если еще и взять выборку по типу и степени опасности... > поправку на кол-во пользователей на протяжении всех нулевых на вордпресс писали уютные бложики для одного васяна и его друзей, в то время как на друпал это были крупнейшие новостные сайты, биржево-информационные и мультимедийные порталы,  и еще черти-какие монстры с миллионами посетителей на один сайт, то есть "на одну установку". то же самое происходит и сейчас, разве что на вордпресс вообще ничего серьезного не пишут... или ты кол-во установок считаешь, думаешь что сайт каждого васяна непременно пытаются ломануть все хакеры мира? > думаю лучше не делай этого, а то как-то не очень.. а в статистику так вообще...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #28

27. Сообщение от Алеша (?), 18-Дек-20, 17:57	+/–
но я не говорю что друпал конфетка, не подумайте ничего такого. все это дерьмо и фарш с макаронами из говнокода.. но из всех видимых мною ширпотребных cms (а я лет 15 проработал админом по хостингам) у друпала чуть ли не один из самых грамотных подходов по безопасности. там все в обернуто в нужные классы, все сто раз парсится и просто так там не пролезет подобная дрянь с экранированным символом. а так как сама система имеет гораздо более высокий порог вхождения, то и плагины под нее не всякая обезьяна возьмется писать и не каждый даун на нем стенет сайт делать. но они кажется убили эту идеологию в последних версиях... кстати, если брать форумы, то там таким продуманным пожалуй будет, как ни странно, попсовое ксенфоро... а знаете кто больше всего плакал горючими слезами? была (и есть наверное) такая cms - magento - там что не дыра, то непременно месяцами ходивший 0-day и миллионы утекших дампов, тысячи обогатившихся хакеров и кардеров...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от Дима (??), 18-Дек-20, 18:03	–7 +/–
https://www.cvedetails.com/product/2387/Drupal-Drupal.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #33

29. Сообщение от Аноним (3), 18-Дек-20, 18:07	–3 +/–
> При чём тут PHP? Действительно, а причем тут PHP? Ибо я говорил не о PHP, а о похапешниках:     «безопасность -- это не про похапешников»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #49

30. Сообщение от Аноним (32), 18-Дек-20, 18:15	+/–
> удаление символов-разделителей и управляющих символов из имён загружаемых файлов Сколько раз говорилось... ээээ... обезьянкам - НЕ СОХРАНЯЙТЕ ФАЙЛЫ С ПЕРЕДАННЫМ ПОЛЬЗОВАТЕЛЕМ ИМЕНЕМ. Генерируйте сами и сохраняйте оригинал в метаданных. Просто во избежание. Нет - всё равно лепят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

31. Сообщение от Атон (?), 18-Дек-20, 18:17	+/–
Я не понял, выявили уязвимость в 5.3.2 или в 5.3.2 устранили уязвимость? 5.3.2     Removes control, separator, and other types of special characters from filename to fix the unrestricted file upload vulnerability issue.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (32), 18-Дек-20, 18:26	+7 +/–
Посмотрев на нутро типичной поделки на Java под названием Jira и Confluence - не, я уж лучше с PHP буду дружить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

33. Сообщение от Алеша (?), 18-Дек-20, 18:45	+1 +/–
и что, это как-то идет в разрез с тем что я сказал? там как раз таки все подтверждает мои слова - кол-во уязвимостей в 3-5 раз меньше (если смотреть по группам). попробуй перечитать еще раз то что я написал и попытаться осмыслить что ли, а не просто ссылки сыпать подтверждающие мои слова
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

34. Сообщение от microsoft (?), 18-Дек-20, 21:20	–2 +/–
Но поделки ты нам так и не показал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #36

35. Сообщение от microsoft (?), 18-Дек-20, 21:23	–1 +/–
Но ты понял и всем рассказал, вот он герой опнянета
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #52

36. Сообщение от Аноним (36), 18-Дек-20, 21:59	+5 +/–
Тот же «аргумент», но под другим ником. Это даже жалко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от Аноним (36), 18-Дек-20, 22:03	+3 +/–
Если им так много пользуются почему бы просто не подтянуть качество продукта, нанять хороших программистов? Да потому что на пхп не бывает таких программистов в природе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

38. Сообщение от Аноним (38), 18-Дек-20, 22:14	+2 +/–
Можно, но для современных борзописцев это слишком сложно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

39. Сообщение от Аноним (38), 18-Дек-20, 22:15	+/–
В самом унылом случае - просто dechex кодировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #40

40. Сообщение от Аноним (38), 18-Дек-20, 22:15	+/–
bin2hex
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от BlackRot (ok), 18-Дек-20, 22:49	–1 +/–
Юзаю этот плагин. Увидел новость - сразу обновил на всех своих сайтах. Впервые меня это тоже касалось и не успел пострадать что уже хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #71

42. Сообщение от пох. (?), 19-Дек-20, 00:14	–2 +/–
Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов. Сколько ж вас, идиотов... P.S. да, сохраняйте имена в тазе банных. Как вам, кстати, мой файл "image.gif'; delete * from users" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51, #60

43. Сообщение от Аноним (43), 19-Дек-20, 01:16	+1 +/–
Nginx как я понимаю впролете с CMS, которые намертво прибиты к фичам типа htaccess апача?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #69

44. Сообщение от OpenEcho (?), 19-Дек-20, 02:39	–1 +/–
>> Я так и думал > Простое повторение «аргумента» «Сперва добейся!» не имеет ничего > общего с думанием. Ну так подумай. Внимательно ! Человек потратил свое время, вложил свое "думание" в продукт, в свое свободное время, который отдал безплатно и который юзают (только оффициально) около 5,000,000,000 субьектов, и насколько я помню, уже много лет. Человек же, который не может похвастаться тем же самым (или хотя-бы 1/5000000000 от этого), но при этом поливая из под тишка, под маской анонима, грязью того кто "смог", называется среди мужиков... ну, кто мужик, то понял, а для моральных калек я распинаться не стану, - безполезная трата времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #72

45. Сообщение от OpenEcho (?), 19-Дек-20, 02:46	+5 +/–
> Я скажу. Дело в том, что порог вхождение в PHP ниже. Здесь вопрос не ПХП, и не в качестве кода, (вполне возможно что тот японец вообще врач или таксист), а в низкой морали некоторых здешних завсегдотаев, готовых показать без стеснения свою низкую душенку, клеймя популярный продукт, который нужен всего то 5М, но при этом  не показывая своей "крутой" ни кому неизвестной прграммы, написанной на каком-то чудо языке, где нет никаких ошибок
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #76

46. Сообщение от OpenEcho (?), 19-Дек-20, 02:53	+1 +/–
> И да, у "поделок" на той же Java не меньше пользователей, а > скорее больше. Вопрос не измерении - "у кого больше, толще и длинее",  а в низости некоторых коментаторов, которые то-ли из зависти, толи из-за возраста, то-ли просто от невоспитаности, позволяют себе клеймить других, более успешных людей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

47. Сообщение от Аноним (47), 19-Дек-20, 09:16	+/–
А где уязвимость, если она неэксплуатируемая? Уязвимость - она по определению эксплуатируемая.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #50, #67

48. Сообщение от Аноним (49), 19-Дек-20, 10:49	+/–
Ты не понимаешь это другое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Аноним (49), 19-Дек-20, 10:51	–5 +/–
PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #54

50. Сообщение от Ordu (ok), 19-Дек-20, 10:55	+/–
> Уязвимость - она по определению эксплуатируемая. Где ты взял это определение уязвимости? Я вот, допустим, ни разу не сталкивался. Поделишься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

51. Сообщение от unuser (?), 19-Дек-20, 12:19	+/–
А в вашу деревню PDO, видимо, не завезли? Такие имена замечательно сохраняются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #63

52. Сообщение от Аноним (52), 19-Дек-20, 13:13	+3 +/–
А ты Майкрософт и ты, сам по себе, дыра в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

54. Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 14:32	+6 +/–
Код на РНР/python/perl/nodejs можно писать безопасным, только этому научиться сперва стоит. Неумение использовать инструмент приводит к ошибкам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #59

55. Сообщение от Michael Shigorin (ok), 19-Дек-20, 14:52	–3 +/–
Видимо, сарказм подразумевался на слове "программистом". Хотя и да, человеку всё так же свойственно ошибаться.  Даже Чеусову.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #58

56. Сообщение от Michael Shigorin (ok), 19-Дек-20, 14:53	–1 +/–
> Ты про Друпал ничего не слышал? Про шестой слышал, про седьмой лучше бы уже не слышал. А так -- TYPO3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #77

57. Сообщение от Аноним (66), 19-Дек-20, 15:26	+/–
>Практическая возможность эксплуатции уязвимости в типовых конфигурациях оценивается как низкая >по умолчанию Contact Form 7 для серверов с Apache httpd создаёт в каталоге с загрузками .htaccess, запрещающий прямой доступ к загружаемым файлам >файл сохраняется во временном каталоге со случайным именем >удаляется сразу после отправки получателю Вы конечно пишете код без ошибок. А авторы подумали о том что могут быть ошибки и дополнительно защитились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

58. Сообщение от Аноним (66), 19-Дек-20, 15:30	–1 +/–
Вы видимо не пишите код даже на php и по-этому не делаете ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от Аноним (66), 19-Дек-20, 15:41	–2 +/–
Ну напишите функцию валидации имени файла и пути, которая будет работать и в windows и в unix-like, при этом будет работать хотя бы в php 5.6 (а не 5.3 как wordpress поддерживал еще недавно) при этом будет пропускать имена допустимые в ос под которой выполняется (пробелы, \ в gnu/linux, что-то там в windows), национальные символы. а потом говорите про необученных похапешников. скорее всего у вас с 1 раза не получится, и со второго тоже и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #73

60. Сообщение от Аноним (38), 19-Дек-20, 15:58	+/–
Сферическая файловая система в вакууме - да. Но у файловых систем у самих есть ограничения по содержимому имён - это раз, а два - имена могут быть любые, и вовсе не обязательно давать те, что могут внезапно стать исполняемыми или "не вписаться в стандарт ОС/FS/софта".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #64

61. Сообщение от Аноним (38), 19-Дек-20, 15:59	+/–
nginx и с динамикой без костылей типа unit или CGI в пролёте, так-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

62. Сообщение от Аноним (66), 19-Дек-20, 16:06	+/–
>"test.php\t.png" >$filename = preg_replace( '/[\pC\pZ]+/i', '', $filename ); но ведь это корректное имя файла. Почему из него нужно разделитель вырезать и как он вообще там оказывается?
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (66), 19-Дек-20, 16:07	+/–
в wordpress можно использовать PDO?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #74

64. Сообщение от пох. (?), 19-Дек-20, 16:21	+/–
> Но у файловых систем у самих есть ограничения по содержимому имён Есть, и что с того? У sql тоже есть некоторые ограничения, если, конечно, не сразу в blob эти имена складывать. Намек был - что user input валидировать надо в _любом_ случае - и проявления фантазии ограничивать, а за попытки типа предложенной - и вовсе сразу блокировать учетку, поскольку ничего хорошего от такого юзера ждать не приходится - не найдет дырку здесь, поищет рядом -и рано или поздно таки добьется своего. При этом файловая система посложнее msdos fat - вполне таки пригодна и эффективная для сохранения имен файлов вместе с файлами, без необходимости плодить сущности и создавать новые уязвимости в другом месте. Она вообще-то именно для этого и предназначена. Причем ее писали люди, чья квалификация явно повыше типового phpшника будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от Аноним (66), 19-Дек-20, 16:27	+/–
Да именно так. Испражняться в комментариях любой олигофрен может, а писать безопасный код код нет Особенно при тех ограничениях которые есть у wordpress для совместимости с любым дешевым и старым хостингом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

66. Сообщение от Аноним (66), 19-Дек-20, 16:35	+/–
в java тоже легко сесть в лужу при разборе строк. Например из-за того что кодовые точки в ней занимают 1-2 символа, а прикручены были сбоку, лишь в версии J2SE 5.0 в 2004 году.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

67. Сообщение от Аноним (66), 19-Дек-20, 16:36	+/–
в nginx - php-fpm можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #68

68. Сообщение от Аноним (66), 19-Дек-20, 16:36	+/–
если успеть путь к файлу подобрать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

69. Сообщение от Аноним (66), 19-Дек-20, 16:51	+/–
Как запускать wordpress в nginx от разработчиков wordpress: https://wordpress.org/support/article/nginx/ От разработчиков nginx: https://www.nginx.com/resources/wiki/start/topics/recipes/wo.../ и даже рекомендации запуск чего блокировать описаны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

70. Сообщение от Корец (?), 19-Дек-20, 18:19	+/–
Постоянно идут новости про уязвимости WordPress. С ним определённо что-то не так...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

71. Сообщение от Led (ok), 19-Дек-20, 20:06	+3 +/–
>не успел пострадать жаль...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

72. Сообщение от Нате (?), 19-Дек-20, 21:07	+/–
5,000,000,000 ?! Больше половины населения планеты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

73. Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 21:17	+4 +/–
Во-первых, вы изначально подошли к вопросу неправильно. Сами себя озадачиваете, а как быть в ситуации с пробелами или слешами. Вами допущена уже на начальном этапе ошибка проектирования. В комментариях верно написали, что файлам стоит присваивать хэш-сумму вместо имени, как вариант отличное решение. Если хотите использовать условно персидский язык или эмоджи в именах файлов - фильтруйте допустимые символы в именах файлов соответствующими диапазонами unicode. Во-вторых, озвученный вами функционал не является чем-то сложным. Через предопределённую константу PHP_OS определяем платформу switch(PHP_OS) case "WINNT", case "Linux"... Как определили платформу preg_replace(" здесь шаблон ", " заменяем или вырезаем ", $filename). В-третьих, можете почитать wordpress code reference. Там есть, например, вот такая функция https://developer.wordpress.org/reference/functions/sanitize.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

74. Сообщение от unuser (?), 19-Дек-20, 23:23	+/–
Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности. А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

75. Сообщение от Аноним (75), 20-Дек-20, 05:10	+/–
это потому, что на безопасном попыхе, с растом так же будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

76. Сообщение от InuYasha (??), 20-Дек-20, 11:23	+/–
Ты просто не понимаешь скромности анонимов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

77. Сообщение от InuYasha (??), 20-Дек-20, 11:27	+/–
Что !так с седьмым? Говорят, там даже интеграцию с LDAP завезли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

78. Сообщение от srgazh (ok), 20-Дек-20, 19:19	+/–
Оооо да!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема