@bitrixfordevelopers

Страница 304 из 1492
 
Pavel
06.12.2016
21:44:09
Или лыжи не едут... О чем именно речь? Что подразумеваешь под словом биндинг, и как гетлист с инъекцией связаны? и все это с html безопасным выводом и проактивкой?
CIBlockElement::GetList( [], ["PROPERTY_CODE" => $_REQUEST["CODE"]])

 
Бернгардт
06.12.2016
21:45:02
а вот так в любом случае делать нельзя ждешь строку - преобразуй к строке, ждешь число - преобразуй к числу

 
и получай оттуда, откуда ожидаешь

 
дело тут не в том что экрана не будет - он будет, инъекции не будет, но на выходе ты будешь ожидать одну запись с одним кодом, а я тебе два кода вот так передам ?CODE[]=12&CODE[]=13 или вот так CODE[]= ничего и выберутся все записи

Google
 
Pavel
06.12.2016
21:46:15
тут уже про html, js и xss заговорили))

 
Бернгардт
06.12.2016
21:46:17
в любом случае это будет косяк

 
ну просто я сам немного.. удивлен.. вроде вопрос про инъекцию, а речь о данных с тильдой и без.. а это преобразование к html мнемоникам на выход, т.е. из другой оперы совсем.. и проактивку зачем то приплели

 
Pavel
06.12.2016
21:47:48
чтоб такое то :) я не прошу учить меня валидации, я спросил про внутренности системы и всё :)

 
Бернгардт
06.12.2016
21:48:08
пролезет без проблем, инъекции не будет

 
Pavel
06.12.2016
21:48:21
пролезет без проблем, инъекции не будет
спс ))

 
Folt
06.12.2016
21:49:08
честно говоря я не знаю как вывести коробку или штатные компоненты из строя хотя интересовался, а вот в модулях с маркетплейса, весьма популярных - вполне встречал разные казусы в том числе и получения повышенных привилегий впрочем при анализе и без всяких доп.модулей видел во внедрениях auth_admin.php или test.php, или еще чтото подобное, в котором прямым текстом зашедшему любому давалась авторизация под админом ) но это мало к безопасности имеет отношения
)) я видел как в корзине есть поле с реквизитами и там загрузка файла туда php файл заливаешь и компанент отправляет его на сервер а когда есть свой файлик, то становится интерестно)

 
Бернгардт
06.12.2016
21:50:01
единственное, знаешь что неожиданно может быть встречал, редко правда, но было, скорее было похоже на косяк если в коде подать sql похожую строку - может и не пустить, проактивка сработает не помню только, на фильтрацию видел, или на сохранение.. был удивлен, зависимости не нашел

 
)) я видел как в корзине есть поле с реквизитами и там загрузка файла туда php файл заливаешь и компанент отправляет его на сервер а когда есть свой файлик, то становится интерестно)
в штатной корзине файл с реквизитами? и куда то мимо аплоада, в котором запрет на выполнение? хм

 
Folt
06.12.2016
21:51:08
честно говоря я не знаю как вывести коробку или штатные компоненты из строя хотя интересовался, а вот в модулях с маркетплейса, весьма популярных - вполне встречал разные казусы в том числе и получения повышенных привилегий впрочем при анализе и без всяких доп.модулей видел во внедрениях auth_admin.php или test.php, или еще чтото подобное, в котором прямым текстом зашедшему любому давалась авторизация под админом ) но это мало к безопасности имеет отношения
а еще я видел как забывали удалять файл restore и через его заливали свою наработку тотал-командера и получали полный доступ к файловой системе

 
но это человеческий фактор скорее

 
Pavel
06.12.2016
21:51:56
единственное, знаешь что неожиданно может быть встречал, редко правда, но было, скорее было похоже на косяк если в коде подать sql похожую строку - может и не пустить, проактивка сработает не помню только, на фильтрацию видел, или на сохранение.. был удивлен, зависимости не нашел
Нет, у меня такой вопрос закрался, потому что частенько в битрикс проектах встречаю такой шлак https://yadi.sk/i/9X8kOR_032PzvB

 
Бернгардт
06.12.2016
21:52:05
а еще я видел как забывали удалять файл restore и через его заливали свою наработку тотал-командера и получали полный доступ к файловой системе
рестор забыли, оставили файл для авторизации, неверно настроили, наставили левых модулей не проверяя.. еще на паленом битриксе до кучи который непонятно откуда.. ну такого добра я много видел

Google
 
Бернгардт
06.12.2016
21:52:41
Нет, у меня такой вопрос закрался, потому что частенько в битрикс проектах встречаю такой шлак https://yadi.sk/i/9X8kOR_032PzvB
идиотизм чистой воды, еще и не совсем рабочий

 
Pavel
06.12.2016
21:52:54
идиотизм чистой воды, еще и не совсем рабочий
совсем не рабочий

 
Бернгардт
06.12.2016
21:53:07
без ресурса на коннект бд, сработает совсем не всегда

 
и да, если надо - ескейп само ядро сделает..

 
чаще я видел такое по незнанию - свойство html/text из него не корректный вывод, такой каой есть (там действительно сходу можно запутаться) и в html попадает сырой вывод.. откуда нибудь где пользователь заполнить может.. ну и привет тебе js инъекция ибо проактивка выключена "шоб не тормозила"

 
впрочем подобное я на штатном друпале проворачивал а тут еще надо постараться ... штатными средствами вроде никак

 
Alexander
06.12.2016
23:15:52
Всем привет. Развернул на локалхосте экзаменационную виртуалку по Битриксу. Поработал, а она чз некоторое время говорит :срок работы пробной версии продукта истек. Вы можете купить... Регистрация. Жму "регистрация", ввожу логин, пароль, лицензионный ключ... Пишет,что не админ... Как быть? Переустанавливать все- не вариант

 
sowd
06.12.2016
23:35:57
снапшоты делай

 
время открути

 
мб прокатит

 
Garry
07.12.2016
05:02:43
Всем доброе утро. Народ подскажите пожалуйста. Есть событие $eventManager->addEventHandlerCompatible('iblock', 'OnAfterIBlockElementUpdate', Array("agent_1c", "addPictSKU"), false, 130 ); В нем вызываеться CIBlockElement:Update После выполнения CIBlockElement:Update событие OnAfterIBlockElementUpdate сразу завершаеться??

 
Или доходит до конца функции?

 
Alexander
07.12.2016
05:38:27
снапшоты делай
Вот не сделал. Есть способ сбросить триал?

 
время открути
Не прокатило

 
Oleg
07.12.2016
05:59:04
Вот не сделал. Есть способ сбросить триал?
Можно написать в ТП и они один раз могут продлить срок триала, если причина разумная

 
Или доходит до конца функции?
ну если в обработчике событий нет return; то дойдет до конца

 
Виталий
07.12.2016
06:00:51
кто есть с Калининграда?

 
Maxim
07.12.2016
06:03:53
Да

 
Виталий
07.12.2016
06:22:23
как у вас там с арендой квартир? (в каком районе лучше снимать, чтоб поскокойней было и кафе были по близости)

 
и есть ли какой то местный сайт, где аренда квартир размещена, помимо авито?

Google
 
Maxim
07.12.2016
06:28:50
Я дам номер риэлтора

 
Ща я выйду из дома и голосовое пришлю

 
В битрикс идешь устраиваться?

 
Нет жклания?

 
Виталий
07.12.2016
06:37:29
да вроде нет, просто город посмотреть, пожить

 
Vladimir
07.12.2016
06:59:29
проактивка же есть
в старте её нет

 
Maxim
07.12.2016
07:02:59
Там с этим жестко. Все проверяется и экранируется

 
Но нельхя допускать человеческий фактор

 
У меня уже 10 лет за правило самому всегда приводить типы. Хотя это относится в основном только к числам ?

 
Igor
07.12.2016
07:28:03
Это. Я получаю 100 и не знаю что такое прототипы в js

 
sowd
07.12.2016
07:28:30
за отсосы платят чтоле?

 
Oleg
07.12.2016
07:28:40
ХДДД

 
Pavel
07.12.2016
07:28:53
Это. Я получаю 100 и не знаю что такое прототипы в js
да уже не принципиально, в ES2015 есть вменяемые классы

 
Igor
07.12.2016
07:29:01
На самом деле даж больше

 
Я чистый бекенд

 
Вообще не верстаю

 
Юрий
07.12.2016
07:29:37
ничесе, какие тут подробности

 
отошел на 10мин

 
Igor
07.12.2016
07:29:57
По секрету - это нормально

 
sowd
07.12.2016
07:30:10
отсосы?

Google
 
Alexander
07.12.2016
07:30:32
)))

 
Юрий
07.12.2016
07:30:49
эх москва. москва ...

 
Igor
07.12.2016
07:31:34
Когда фронт и бек разделены

 
Юрий
07.12.2016
07:32:04
Когда фронт и бек разделены
ну так и должно быть по нормальному

 
Pavel
07.12.2016
07:33:19
ну так и должно быть по нормальному
на больших объемах - да. Но не знать своих технологий - грех :) Ну правда если ты бэкенды не к автомобилям или космолетам пишешь

 
Юрий
07.12.2016
07:34:19
не, я как бы верстаю. но знаю многих программистов, которые вообще не знают верстку.

 
Igor
07.12.2016
07:34:39
на больших объемах - да. Но не знать своих технологий - грех :) Ну правда если ты бэкенды не к автомобилям или космолетам пишешь
Нормально это знать поверхностно смежные темы

 
Юрий
07.12.2016
07:34:43
по поводу "своих технологий" я бы поспорил

Admin
ERROR: S client not available

 
Pavel
07.12.2016
07:34:51
не, я как бы верстаю. но знаю многих программистов, которые вообще не знают верстку.
через пару лет, они вымрут как динозавры :)

 
sowd
07.12.2016
07:34:56
сишнеги?

 
Igor
07.12.2016
07:35:03
через пару лет, они вымрут как динозавры :)
Та ладно

 
Pavel
07.12.2016
07:35:18
Та ладно
шучу шучу))

 
Igor
07.12.2016
07:35:45
Узкая специализация наше все

 
Pavel
07.12.2016
07:36:55
Узкая специализация наше все
на php и mysql мир не закончился ? но на самом деле все зависит от проектов, если вы всегда планируете клепать корпорейт сайтики, то может вам и будет этого достаточно

 
Igor
07.12.2016
07:38:40
А кто сказал, что я чуток на go, java не пишу

 
Юрий
07.12.2016
07:38:54
на php и mysql мир не закончился ? но на самом деле все зависит от проектов, если вы всегда планируете клепать корпорейт сайтики, то может вам и будет этого достаточно
а что делать, если ничего больше не умеешь? а изучать новое нет времени. т.к. завяз в сайтиках?

 
Pavel
07.12.2016
07:39:34
А кто сказал, что я чуток на go, java не пишу
а кто то еще и кулачкову гоняет, но нифига не порнозвезда

 
а что делать, если ничего больше не умеешь? а изучать новое нет времени. т.к. завяз в сайтиках?
так надо на сайтиках и начинать изучать. Все причины - это отмазки перед собой

 
svetlana
07.12.2016
07:40:31
меня вот сколько вёрстке не учи, я всё равно на пхп смотрю +)

Google
 
Pavel
07.12.2016
07:40:37
а что делать, если ничего больше не умеешь? а изучать новое нет времени. т.к. завяз в сайтиках?
просто кто то замкнулся на том стеке что знает и больше не может ничего освоить (ну или не хочет), а на самом деле это круто и интересно))

 
Я в свое время чтобы подтянуть мозги по программированию изучал и С++ и Java и прочие языки и технологии, даже что то делал. Дома книги по шейдерам и opengl валяются, вы думаете я пишу на этом? Нет, но мозги тренирует и мысли развивает

 
Илья < Altair4713 >
07.12.2016
07:43:04
В нашем деле вообще без такой тренировки никуда

 
Особенно учитывая как быстро всё меняется и развивается

 
Pavel
07.12.2016
07:43:34
ну а JS знать в вэб сфере мне кажется уже не то что желательно, а довольно таки обязательно, столько инструментария подвязано на него, тем боле нода уже давно прижилась на бэкенде

 
sowd
07.12.2016
07:44:20
а какже курнуть и помидитировать?

 
для развития мозгов*

 
Vlad
07.12.2016
07:48:09
sale.location.selector.search из этого компонента можно выхатить почтовые индексы?

 
sowd
07.12.2016
07:51:14
это риторический вопрос?

 
Pavel
07.12.2016
07:53:10
чего только не встретишь в вакансиях https://yadi.sk/i/MGC8tbTf32Rszc ))

 
Vlad
07.12.2016
07:53:32
это риторический вопрос?
нет

 
sowd
07.12.2016
07:55:40
а индексы в него прилетают*

 
?

 
Vlad
07.12.2016
07:57:06
На php в него вообще ничего путного не прилетает, пытаюсь понять где в js заложено

 
sowd
07.12.2016
07:57:21
так мб тебе и не нужен этот компонент?

 
мб проще свое написать и не тратить время на битриксовое гавно?

 
Igor
07.12.2016
07:57:57
ну а JS знать в вэб сфере мне кажется уже не то что желательно, а довольно таки обязательно, столько инструментария подвязано на него, тем боле нода уже давно прижилась на бэкенде
Ну почти во всех серьезных конторах есть отдельные люди, которые пилят ноду и только ноду

 
ну а JS знать в вэб сфере мне кажется уже не то что желательно, а довольно таки обязательно, столько инструментария подвязано на него, тем боле нода уже давно прижилась на бэкенде
туда же верстку

 
Garry
07.12.2016
07:58:19
sale.location.selector.search из этого компонента можно выхатить почтовые индексы?
$zip = CSaleLocation::GetLocationZIP( ID местоположения )->Fetch()["ZIP"]

Страница 304 из 1492