понакурятся своим php и тычут друг в друга sql-ем :-\

итак я не понял что должно быть обязательно добавлено из родных функций для обработки формы :D

стриптаг

ну и htmlspecialchars

ну и trim

а лучше вообще unset($_POST)

и апач погасить

?

верно

и апач погасить

погасить апач априори

и включить nginx

ну и htmlspecialchars

видел я крутых умников, которые делаю что-то вроде

$number = $_GET['input_number']; if (intval($number)) { //sql }

nginx ненужен

он неумеет в .htaccess

он неумеет в .htaccess

ты чо динозавр?

Да

какой .htaccess в 2017?

это был дурной тон еще в 2012

Канешна

ну и htmlspecialchars

Там вообще набор фильтрации идет) Это так плохо? )

Запусти свою лару без mod_rewrite

Да тащемта любой фреймворк

$number = $_GET['input_number']; if (intval($number)) { //sql }

Плохо когда можно так 1'+UNION+SELECT intval получил число, а в $number не изменилось ничего ровным счетом, вот и sql

Слушайте, а зенд все еще живой? Народ работает на нем? А то повыходило много всякого.

Плохо когда можно так 1'+UNION+SELECT intval получил число, а в $number не изменилось ничего ровным счетом, вот и sql

И что мешает (int)$number перед запросом сделать?

Там вообще набор фильтрации идет) Это так плохо? )

плюс на htmlspecialchars/addslashes есть свои инъекции http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

плюс на htmlspecialchars/addslashes есть свои инъекции http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

Я раньше делал 3 или 4 степени очистки. Вроде бы проблем небыло.

И что мешает (int)$number перед запросом сделать?

а в том, что правильная фильтрация это $number = intval($_GET['input_number']); а не if (intval$number)

Самый простой способ, был, писал регулярку которая удаляла все кроме чисел.

$number = $_GET['input_number']; if (intval($number)) { //sql }

зачем писать геты и посты в переменную когда можно сразу вписать и не делать больше кода

Самый простой способ, был, писал регулярку которая удаляла все кроме чисел.

следующий

Хуй знает, я тип привожу всегда перед вставкой в бд

привычка такая

зачем писать геты и посты в переменную когда можно сразу вписать и не делать больше кода

я тебе показываю код из проекта который ковырял вчера

Хуй знает, я тип привожу всегда перед вставкой в бд

это не защищает тебя от sql inj roflmao

следующий

ТУплю. Поясни.

я тебе показываю код из проекта который ковырял вчера

а я вообще говорю что меня бесит что в проверки суют переменную как тот из видео, в которой лежит массив $_POST

where id=(int)$_GET['id'] Как то так

where id=(int)$_GET['id'] Как то так

Есть такой вектор атаки как Exploiting Integer Based SQL Injection In Nested SQL Queries

вот вот

Есть такой вектор атаки как Exploiting Integer Based SQL Injection In Nested SQL Queries

?

самый базовый

Наркоты

Пойду апач потушу

Есть такой вектор атаки как Exploiting Integer Based SQL Injection In Nested SQL Queries

Сокращенно EIBSQLIINSQLQ

мало ли чо

Пойду апач потушу

Переходи на nginx, уже почти 2017-й ?

а я вообще говорю что меня бесит что в проверки суют переменную как тот из видео, в которой лежит массив $_POST

я не говорю что он делает априори правильно, но так или иначе половину косяков сглаживает редбин

Есть такой вектор атаки как Exploiting Integer Based SQL Injection In Nested SQL Queries

и как от него избавляются?

nginx ненужен

он неумеет в .htaccess

Переходи на nginx, уже почти 2017-й ?

я бы это запинил

Орм это не только экранирование

я не говорю что он делает априори правильно, но так или иначе половину косяков сглаживает редбин

ну он хоть что то сделал :D а я только собираюсь

Орм это не только экранирование

Да

подготовленные запросы

sql inj скоро как таковой вымрет

В орм проще динамически дополнять запрос например

а вот то, что до сих пор формы валидироать не научились и csrf валидация только в популярных фреймворках

ну вот какая замена .htaccess у nginx?

конфиг сервера не предлагать

ну вот какая замена .htaccess у nginx?

Слава богу никакой

ну можно же в server {} разместить аля

rewrite ^(.*)$ /index.php break;

Нельзя

Нельзя

https://winginx.com/ru/htaccess

ERROR: S client not available

.htaccess это каст -500$ к зп

нету блжад доступа к server {}

Есть нормальный и удобный nginx.conf и там можно прописать правила, но как заметил Артур в случае с апачем

.htaccess это каст -500$ к зп

а в случае с nginx я бы руки отрывал просто

Заебали блять админы локалхоста

есть тонна шаред хостингов с жумлой и вордпресом

главное сайт та может быть защищён но какой толк если там стоит какой нибудь proftpd (если это контентный сайт)

Зачем тебе мертворожденная технология в 2017?

мне - вообще ненужна

Клиентам - нужна

И еще лет 10 будет нужна

//_O

жесть

никто не ломанется переписывать мегатонны кода ради циферки в версии php и модны на nginx

жесть

там пингвин в корзинке на велосипеде?

там пингвин в корзинке на велосипеде?

ога

Клиентам - нужна

Проблемы негров шерифа не волнуют

или ворона

у nginx есть же свой ngx_http_rewrite_module

Яж грю, привыкли пилить впски под хеловорды

Сам апач рекомендует не юзать .htaccess

у nginx есть же свой ngx_http_rewrite_module

Ты видел как он работает?

Апач да, не рекомендует

а советуют переносить правила rewrite в конфиг сайта

А мейнтейнерам различных cms насрать

Сам апач рекомендует не юзать .htaccess

Почему?

у nginx есть же свой ngx_http_rewrite_module

Ничто не мешает написать редактируемые реврайты на пхп отдельным файлом или подтчгивать динамически нддинкс конфиг(но релоадить придется. В прочем любой релиз подразумевает релоад)

я столько path traversal из-за кривой настройки .htaccess апача видел, сколько пожалуй порно не видел в жизни

Ничто не мешает написать редактируемые реврайты на пхп отдельным файлом или подтчгивать динамически нддинкс конфиг(но релоадить придется. В прочем любой релиз подразумевает релоад)

даже на хайлоаде помню, парой слов обмолвились именно об этом

Почему?

Медленно плохт поддерживаемо(костыли) и опасно

Медленно плохт поддерживаемо(костыли) и опасно

А чем опасно?