ненене

тоже самое. говнонизкоуровневое :)

ага

в пхп группе есть пхп-шники?

тоже самое. говнонизкоуровневое :)

да нифига там утиная типизация что сильно упрощает и нет всех этих ваших классов. Все очень приятно и просто. Почти как в пхп только чаще приходится нормальный код писать )

да нифига там утиная типизация что сильно упрощает и нет всех этих ваших классов. Все очень приятно и просто. Почти как в пхп только чаще приходится нормальный код писать )

фу. не надо было возвращать тебя из бана :))

фу. не надо было возвращать тебя из бана :))

?

Ну показательно или не показательно дело такое, язык позволяет создавать. Насколько эффективно, можно поспорить, но достаточно большой круг задач решается без переключения на более эффективный язык. Если ты написал какую-то полезную утилиту на Perl, прицепить к ней GUI будет чаще всего проще и быстрее именно на Perl.

да нифига там утиная типизация что сильно упрощает и нет всех этих ваших классов. Все очень приятно и просто. Почти как в пхп только чаще приходится нормальный код писать )

эта падазрительна! Человек, который любит duck-typing, но при этом не любит Python... :)

если я напишу что то на Perl забаньте меня )

Ладно, мой камингаут - я лет 8 на Perl писал, да и сейчас бывает по мелким заказам

эта падазрительна! Человек, который любит duck-typing, но при этом не любит Python... :)

я не говорил что не люблю питон, просто не вижу его применения за пределами DS и ML сегодня, после того как полюбил Go с его уникальной простотой, многопоточностью и возможностью очень просто собрать бинарник под любую платформу )

а подскажите новичку, можно ли в pdo подставлять get и post без обработки? это безопасно? $conn->prepare("INSERT INTO test ($_POST['column']) VALUES (?)"); $conn->execute( array($_POST['text']) );

Это нормально, это лечится. Выйдет какой-нибудь go-go, и любовь будет к нему.

Вообще клевый чат. Лучшие дискуссии не о PHP :)

а подскажите новичку, можно ли в pdo подставлять get и post без обработки? это безопасно? $conn->prepare("INSERT INTO test ($_POST['column']) VALUES (?)"); $conn->execute( array($_POST['text']) );

тут чето не помогают (

тут чето не помогают (

а че так?

а подскажите новичку, можно ли в pdo подставлять get и post без обработки? это безопасно? $conn->prepare("INSERT INTO test ($_POST['column']) VALUES (?)"); $conn->execute( array($_POST['text']) );

может боты??

Это нормально, это лечится. Выйдет какой-нибудь go-go, и любовь будет к нему.

так я не спорю, но сегодня он отлично решает свои задачи, писать на нем просто и чаще куда эффективней чем на чем то другом. А вообще уже вышли, есть например Pony. Он вполне с растом по скорости конкурирует, а Go делает, как ребенка )) https://www.ponylang.org/

может боты??

на самом деле я тоже бот, я просто нейронная сеть, которая учится с учителем, а ты сам программируешь?

О, прям спасибо, пойду подкину товарищу, он падок на новинки :)

на самом деле я тоже бот, я просто нейронная сеть, которая учится с учителем, а ты сам программируешь?

немного

тут чето не помогают (

просто незнают.

?

У них на аватарках недостаточно сисек, чтобы помогать в вопросах, которые гуглятся

У них на аватарках недостаточно сисек, чтобы помогать в вопросах, которые гуглятся

так ты поэтому очки напялил, чтобы никто не видел что ты на сиськи пялишься, да?

Естественно.

как вариант))

а подскажите новичку, можно ли в pdo подставлять get и post без обработки? это безопасно? $conn->prepare("INSERT INTO test ($_POST['column']) VALUES (?)"); $conn->execute( array($_POST['text']) );

небезопасно

надо обработку

или хотябы проверку

или хотябы проверку

а зачем тогда pdo, если я все равно вручную проверку и обработку делать буду?

не вручную

проверку дабы иньекции небыло

проверку дабы иньекции небыло

приведи пример иньекции какая может быть в моем коде

приведи пример иньекции какая может быть в моем коде

htmlspecialchars()

но в документации сказано что PDO::prepare предотвращает иньекции

не приведу

приведи пример иньекции какая может быть в моем коде

В $_POST['column'] передать строку начинающуюся с комментария SQL и дальше можно все что угодно творить

а приведи пример, пожалуйста, я попробую у себя выполнить

если указано что предотвращает значит отлично

но в документации сказано что PDO::prepare предотвращает иньекции

внимательно читать надо

а приведи пример, пожалуйста, я попробую у себя выполнить

у Вас какой-то input?

внимательно читать надо

что именно я пропустил?

у Вас какой-то input?

да, из формы передается input name="column_name"

что именно я пропустил?

https://habrahabr.ru/post/148151/ - начинать читать отсюда, и до полного просвещения.

а приведи пример, пожалуйста, я попробую у себя выполнить

проще всего сделайте input на целые числа с проверкой

https://habrahabr.ru/post/148151/ - начинать читать отсюда, и до полного просвещения.

а там же не pdo, можешь привести пример как именно мой код можно сломать?

проще всего сделайте input на целые числа с проверкой

если там числа

если там числа

там буквы, названия столбиков таблицы

а приведи пример, пожалуйста, я попробую у себя выполнить

INSERT INTO test ($_POST['column']) VALUES (?) id) VALUES (1); DROP table test; --Чонибудь типа такого

а там же не pdo, можешь привести пример как именно мой код можно сломать?

пофигу, pdo или нет. Понимание SQL инъекции будет базовым. Как говорил один из героев отличного рассказа Шекли, "чтобы задать правильный вопрос, нужно знать большую часть ответа".

там буквы, названия столбиков таблицы

тогда, я думаю, проще всего htmlspecialcharts()

тогда, я думаю, проще всего htmlspecialcharts()

а, не

пофигу, pdo или нет. Понимание SQL инъекции будет базовым. Как говорил один из героев отличного рассказа Шекли, "чтобы задать правильный вопрос, нужно знать большую часть ответа".

ну так ты можешь привести пример как сломать этот код?)

это от XSS

ну так ты можешь привести пример как сломать этот код?)

никак. Кати его в продакшен

ну так ты можешь привести пример как сломать этот код?)

prepare вроде ничего кроме эскейпинга не делает, просто используй bindParam и bindValue и не делай людям нервы ))

INSERT INTO test ($_POST['column']) VALUES (?) id) VALUES (1); DROP table test; --Чонибудь типа такого

а как дроп запишется в конце запроса, если пост находится в начале?

а как дроп запишется в конце запроса, если пост находится в начале?

я тебе уже скинул статью. Будь любезен, хотя бы пролистай ее

а как дроп запишется в конце запроса, если пост находится в начале?

Подставь эту строку в $_POST['column'] и ты увидишь что произойдет

Всмысле, какой запрос получится в результате

а как дроп запишется в конце запроса, если пост находится в начале?

попробуй что то вроде \xbf\x27 OR 1=1 /* передать

попробуй что то вроде \xbf\x27 OR 1=1 /* передать

а что это означает, можешь объяснить?

ERROR: S client not available

вот смотрите, есть форма, там в name я могу написать что угодно, что надо написать, чтобы сломать базу?

а что это означает, можешь объяснить?

как вариант вот еще "1' OR 1 LIMIT 1; --" я редко последнее время с базами общаюсь, только простейшие задачи, потому хз что именно будет работать -надо тыкать и смотреть. просто выведи запрос который получается и все сам увидишь. Передайет условие которое постоянно выполняется и результат вывода приодит которого ты не ожидаешь

name - это название столбика в таблице

не это я тебе для селектов писал, для инсертов это не будет работать.

Надо просто минут 5 покумекать и составить подходящий запрос, но это уже лень )

вот смотрите, есть форма, там в name я могу написать что угодно, что надо написать, чтобы сломать базу?

Давай лучше так - ты дай ссылку на sqlfiddle с этим запросом, а тебе напишут код который что-нибудь ломает

Надо просто минут 5 покумекать и составить подходящий запрос, но это уже лень )

ну закумекай хотя бы 1 примерчик, хотя бы самый плохенький)

попробуй что то вроде test’,(select password from mysql.user where user=’root’ limit 0,1),’test2’)-- - вставить в поле формы. и даже если не работает посмотри какой в итоге у тебя запрос получается

INSERT INTO test ($_POST['column']) VALUES (?) id) VALUES (1); DROP table test; --Чонибудь типа такого

Вот этот чем не подошел? Ты пробовал его в строку посылать?

Вот этот чем не подошел? Ты пробовал его в строку посылать?

этот ошибку выдает: Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in

Ты не выполняй этот запрос а просто в строку вставь вместо $_POST['column'] и посмотри что получится.

Ты не выполняй этот запрос а просто в строку вставь вместо $_POST['column'] и посмотри что получится.

щас попробую

этот ошибку выдает: Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in

залей свой код на хостинг, мы поиграем, а ты потом логи посмотришь, в режиме ванги не интересно )

Ты не выполняй этот запрос а просто в строку вставь вместо $_POST['column'] и посмотри что получится.

эффект понятен, а подскажите, как уберечся от такокго?

самый простой способ

?

эффект понятен, а подскажите, как уберечся от такокго?

prepared statements

самый простой способ

есть закон - никогда не доверяй данным от пользователя. Все, что он делает -это атака. Потому просто приводи их к тому виду, которого ожидаешь как можно строже и запрещай отклонения.

а если, к примеру, постоянно изменяющиеся свойства?

Свойства чего?

ну возьмем, как правило, обычный запрос на апдейт, т.е. скрипт пополнения счета на сайте, пользователь может как на 1 единицу пополнить так и на 1 миллион

а если, к примеру, постоянно изменяющиеся свойства?

твоя система должна точно знать что она может изменять

нельзя давать юзеру менять все что хочет.

ну возьмем, как правило, обычный запрос на апдейт, т.е. скрипт пополнения счета на сайте, пользователь может как на 1 единицу пополнить так и на 1 миллион

значит ты должен разрешить числа от 1 до 1 000 001, за остальное банить )

если уж так трудно, то можно и в базу сходить и узнать какие колонки есть у таблицы

значит ты должен разрешить числа от 1 до 1 000 001, за остальное банить )

тем же стейтментом?

Я не панимат что ты от нас хочешь

))

Это все что ты спрашиваешь, называется программирование. Валидация, алгоритм, ограничение, экранирование, вот это вот все.

та я понял)