Ребята, PDO надежно защищает от инъекций? И вообще, есть какие-нибудь статьи как максимально обезопасить админку сайта от взлома? На ум приходит только сложный адрес админки, ограничение попыток логина. По поводу инъекций, я гуглил, но все сводится к использованию PDO, хотя это вроде сейчас и так стандарт

ПДО сам по себе не защищает

если руки не для скуки - с SQL-ем будут муки

Т.е. даже если использовать ПДО в связке с prepared statements все равно будут лазейки?

Так а в чем проблема руками отфильтровать переменные? Чтобы уж точно..

Так переменные же все равно заходят на сервер в теле запроса, в который вроде как обычно и вставляют инъекции

Там помимо инъекций в БД могут быть лазейки. Куки, передача паролей

Так фильтруйте переменные. Исключайте через strreplace или preg_replace все символы, которых в переменной не должно быть.

И уже фильтрованные передавайте в запрос

Ну куки я не использую

ну, то есть в админку нужно каждый раз логиниться заново, через логин-пароль, так?

И банальной валидации строк будет достаточно для защиты? Это же можно и без PDO делать, а старым mysql

Да

Да, достаточно

Старый mysql уже deprecated )

Тю, почему тогда ПДО так хайпят на стэковерфлоу в контексте защиты

В PDO удобно, что не нужно делать escape, не нужно вручную кавычки вокруг переменных расставлять

Не знаю, почему хвалят. В мануале написано "Используйте псевдопеременные, чтобы привязать к запросу пользовательский ввод, не включайте данные, введенные пользователем, напрямую в запрос."

Я читал где-то, что ПДО и препаред стейтментс делают так, что все, что туда поступило воспринимается как строка, поэтому не может исполнятся как код

Не знаю, почему хвалят. В мануале написано "Используйте псевдопеременные, чтобы привязать к запросу пользовательский ввод, не включайте данные, введенные пользователем, напрямую в запрос."

Так это и есть prepared statements вроде как

ну да, получается, оно проходит через escape по умолчанию

но тем не менее, имхо, лучше фильтровать руками

И банальной валидации строк будет достаточно для защиты? Это же можно и без PDO делать, а старым mysql

Ты же понимаешь что защита данных это целая отрасль с рядом профессий? И что нельзя ответить на твой вопрос 2 5 сообщениях телеграма

Мне интересно, как тогда ломают такие компании как Майкрософт, Фейсбук, где многослойная безопасность (кроме социальной инженерии)

Было бы интересно почитать подобны кейс от хакера)

Понимаю

Баги могут быть на уровне дизайна приложения, архитектуры, кода, системных библиотек, ядра операционки, процессора в конце концов. Социальной инженерии, физико-молекулярных свойств материалов.

Есть еще передача паролей - если сайт не на защищенном протоколе, а пароль передается явно, то просто перехвата потока хватит для взлома

Мне интересно, как тогда ломают такие компании как Майкрософт, Фейсбук, где многослойная безопасность (кроме социальной инженерии)

Опасность тоже многослойная )

Ну физико-молекулярные свойства материалов это уже сай-фай какой-то) Мне кажется взломщику проще прийти ко мне домой и с моего компа делать, что вздумается :D

С этой точки зрения весьма рекомендую курс на Stepik о веб-безопасности, он бесплатный

Есть еще передача паролей - если сайт не на защищенном протоколе, а пароль передается явно, то просто перехвата потока хватит для взлома

Ну у меня SSL естессна

Ну физико-молекулярные свойства материалов это уже сай-фай какой-то) Мне кажется взломщику проще прийти ко мне домой и с моего компа делать, что вздумается :D

Не такой уж сайфай, были эксперименты - к стеклу дома прицепляешь присоску и по колебаниям воздуха раскодируешь по каким клавишам тыкает пользователь.

$a = 2; $a = 2; // а то мало ли в прошлый раз не сработало

:D

$a = 2; $a = 2; // а то мало ли в прошлый раз не сработало

вы утрируете :)

Тю, почему тогда ПДО так хайпят на стэковерфлоу в контексте защиты

Потому что он защищает от инъекций?)

Вручную ничего эскейпить не надо, просто фигачишь в плейсхолдер и готово

ПДО сам по себе не защищает

Certain obscure edge cases это то что я выше перечислил :)

Если бага будет в самом pdo или в ядре гденить то да

Или в библиотеке кодирования данных

Или в имплементации pdo под конкретную платформу

Значит вся надежда на хостера

Надо бы им статейку эту скинуть)

Ребята, есть многомерный массив. Каждую его вложенность необходимо отсортировать по полю sort_order. Какие лушие практики?

https://pastebin.com/ixnaTW68

Ребята, есть многомерный массив. Каждую его вложенность необходимо отсортировать по полю sort_order. Какие лушие практики?

рекурсивно

тысяча извинений

Ребята, есть многомерный массив. Каждую его вложенность необходимо отсортировать по полю sort_order. Какие лушие практики?

usort?

usort?

тут массив многомерный с вложенными массивами childs. Тут usort не проканает

ну... можно сделть индексный массив, одномерный, его сортонуть, а затем восстанавливать по мре нобходимости

а в чём проблема по простому while isset(..['childs']) usort ?

но это по памяти затратно будет

можно загнать в ArrayObject и сортировать при первом обращении к элементу коллекци child

это быстрее

ну и так далее

способов хватает

правильного - наверное нет

либо все рекурсивом проходить сразу, либо по потребностям

Ребят, кто нибудь работал с инстаграммом, может подскажите возможно ли получить данные клиента подписавшего в инстаграмм и отправить данные на сторону сервера своего?))

задумка следующего характера: клиент подписался в группу, мы ему личным сообщее отправляем и это отправленное сообщение фиксируем на стороне нашего сайта. Такое возможно сделать на php или необходимо приминять технлогию NODE.JS?

Необходимо применять технологию kung Fu

задумка следующего характера: клиент подписался в группу, мы ему личным сообщее отправляем и это отправленное сообщение фиксируем на стороне нашего сайта. Такое возможно сделать на php или необходимо приминять технлогию NODE.JS?

Задача в том, чтобы фиксировать на сайте сообщение, которое отсылается твоим же бекендом через инстаграм-апи?

Задача в том, чтобы фиксировать на сайте сообщение, которое отсылается твоим же бекендом через инстаграм-апи?

Скорей всего так будет корркетнее. Необходимо либо со стороны сайта, либо прямо на стороне инстаграмма отслеживать подписикивов. Например в наше сообщество подписался новый клиент, мы ему должны отправить автоматическое сообщение со скидкой. Как я это вижу, либо мы автоматически отправляем через инстаграмм сообщение и дулируем его к себе на сайт. Либо через агент будет переодически делаться запрос на обнурежие новый клиентов и уже для новый клиентов формировать предлоние на стороне сайта и отправлять им личное сообщение

появился подписчик. И например через каждый 15 минут со стороны сайта придет запрос, проверить всех клиентов за последний час. Далее будет обратно отправлен JSON формат со списком новых клиентов. И уже для них на стороне сайта будет сформировано предложение и направлено в личное сообщение в инстаграмме

Скорей всего так будет корркетнее. Необходимо либо со стороны сайта, либо прямо на стороне инстаграмма отслеживать подписикивов. Например в наше сообщество подписался новый клиент, мы ему должны отправить автоматическое сообщение со скидкой. Как я это вижу, либо мы автоматически отправляем через инстаграмм сообщение и дулируем его к себе на сайт. Либо через агент будет переодически делаться запрос на обнурежие новый клиентов и уже для новый клиентов формировать предлоние на стороне сайта и отправлять им личное сообщение

https://www.instagram.com/developer/ - смотрели?

https://www.instagram.com/developer/ - смотрели?

Там кроме того чтобы извлечь фотографии, статистику данных небольшие ничего не получилось найти )

https://developers.facebook.com/products/instagram/

Товарищи, подскажите, пожалуйста. Что я не так делаю? Сервер на nginx, пытаюсь сделать масс редирект всех запросов на index фреймворка location / { try_files $uri $uri/ /public/index.php?$args; } В ответ получаю 403. Что я упустил?

Товарищи, подскажите, пожалуйста. Что я не так делаю? Сервер на nginx, пытаюсь сделать масс редирект всех запросов на index фреймворка location / { try_files $uri $uri/ /public/index.php?$args; } В ответ получаю 403. Что я упустил?

https://nginx.org/ru/docs/http/ngx_http_core_module.html#try_files

https://nginx.org/ru/docs/http/ngx_http_core_module.html#try_files

спасибо, добр человек)

спасибо, добр человек)

он вообще тут непричем этот try files

это тебе надо прописывать в прокси к пыху

ну, ежли ты действительно хотишь все слать на index

Ребятушки, кто работает в дигитал агенствах? поделитесь таргетологом социальных медиа, пожалуйста.

джентельмены, сейчас кто-нибудь работает? срочно нужна помощь, готов платить https://laravel.ru/forum/viewtopic.php?pid=18975#p18975 вот эта штука пока ставка 500р

Пятница почти ночь

Фиг его найдутся ли желающие

Ребят подскажите если кто в курсе, как через curl (в линуксовой консоли) отправить в POST запросе бинарные данные, в частности нулл байт. Пробую так: curl http://mysite.io -F 'postdata=123\x00456' на сервере он отображается как \x00 если же я его в urlencode, то на сервере он отображается как %00, но если я его пытаюсь отправить в командной стоке сырым, то команда не выполняется. Что можно предпринять? Всякие —data-binary и @ рядом с запросом вставлял, не помогает. Речь именно про консольный курл, а не про php curl

.io domen besplatno

?

бесплатно без регистрации.

!

что значит отображается на сервере?

бесплатно без регистрации.

где

что значит отображается на сервере?

значит, что urlencode и прочие фишки не помогают, или сырым отправляешь, но курл почему то давится нулл байтом, или в url преобразованном, но тогда сервер не воспринимает его как нулл байт.

т.е. банально отправив curl host —data-binary "post=\x00" курл не отправит такое. Где \x00 - нулл байт в сыром виде, я для удобства в HEX написал.