напоминает нашу медецину

люто плюсую

Первый не может нормально с AUR разобраться Второй предлагает .deb поставить на арч

третий саблайм из пакмана ставит.

третий саблайм из пакмана ставит.

Что еще раз подтверждает вашу тупость, кхм

Уж простите за откровенность

зачем мне с аур разбираться , поставить не проблема. ЯЯ пользуюсь тем чем пользуюсь, отстань.

Ты бл*дь хочешь собрать из исходников, но AUR это слишком сложно

Как ты вообще арч поставил...

а как в арче аур сделан?

Что еще раз подтверждает вашу тупость, кхм

ты чо агришься , мне ваще не всрался твой саблайм. Зачем мне ставить саблайм?

потому что можешь.

а как в арче аур сделан?

По сути AUR это хостинг для репозиториев

Каждый из которых имеет в себе скрипт

Который исполняется при сборке

И скачивает нужные исходники, конфигурирует и мейк инсталлит их

Также он определяет информацию о пакете

Этот скрипт исполняется утилитой makepkg которая проверяет зависимости, а затем запускает 3 стадии скрипта, после чего собирает пакет

негусто разницы с портами

технически может и иначе, но суть та же

негусто разницы с портами

порты?

порты в бсд, ебилды в генту, вот это всё

а, ну да.

Может кто подскажет, есть ли подобные группы в телеграме по java?

есть

Линк пожалуйста:)

Мужики, не подскажете какой-то ресурс, где подробно расписываются секьюрити баги в коде на питоне? У меня класс для работы с БД, возможно там косячнул где-то, пока догадки)

Или вообще посоветуете литературу по написанию грамотного безопасного кода?

как везде - экранировать правильно

Безопаснее всего - вообще ничего не писать. ?

как везде - экранировать правильно

Что под этим имел ввиду?

не совать данные в запросы напрямую...

https://xkcd.com/327/

Мужики, не подскажете какой-то ресурс, где подробно расписываются секьюрити баги в коде на питоне? У меня класс для работы с БД, возможно там косячнул где-то, пока догадки)

А бд какая?

SQL/NoSQL?

SQLite

И зачем свой класс?

Класс телефонная книга там дофига функций, я решил это обернуть в класс, чтобы легче импортировать было

не совать данные в запросы напрямую...

Извини, туплю сильно. Что значит напрямую? Если я пихаю с помощью sqlite типо cur.execute("INSERT hyuina INTO table") Это тот случай?

Извини, туплю сильно. Что значит напрямую? Если я пихаю с помощью sqlite типо cur.execute("INSERT hyuina INTO table") Это тот случай?

нет

да

лол

если ты делаешь так "INSERT " + то_что_ввел_юзер + " FROM table;"

так и делаю это уязвимо?

если буквально так, как ты написал, то, конечно, нет

да, надо экранировать входящие данные

def insert_number(number: str): cur.execute("INSERT " + number + " INTO table");

в стандартной sqlite библиотеке в питоне это вроде делается вопросиками

так и делаю это уязвимо?

это сраный пиздец

и потом через запятую перечисляешь

def insert_number(number: str): cur.execute("INSERT " + number + " INTO table");

вот это напрямую

как это сделать? Что под этим подразумевается?

c.execute("UPDATE movies SET rating = ? WHERE name = ?", (8.7, "'Allo 'Allo! (1982)"))

первым аргументом - запрос; там, где надо вставить опасные данные - знак вопроса, а вторым аргументом tuple из этих опасных данных

кстати да, просто юзай стандартные возможности библиотеки

в стандартной sqlite библиотеке в питоне это вроде делается вопросиками

cur.execute("INSERT INTO contacts (FIO, phone, born) VALUES(?, ?, ?)", info) один такой запрос cur.execute("UPDATE contacts SET phone={0} WHERE id={1}".format(phone_number, id)) другой такой запрос

имей в виду, что если надо вставить че-то одно, то tuple должен выглядеть так - ('data',) с запятой на конце

Как я понял, первый вариант норм, а второй где я юзаю .format() не годится, верно?

это касается и хтмл тоже

cur.execute("INSERT INTO contacts (FIO, phone, born) VALUES(?, ?, ?)", info) один такой запрос cur.execute("UPDATE contacts SET phone={0} WHERE id={1}".format(phone_number, id)) другой такой запрос

второе уязвимо

cur.execute("INSERT INTO contacts (FIO, phone, born) VALUES(?, ?, ?)", info) один такой запрос cur.execute("UPDATE contacts SET phone={0} WHERE id={1}".format(phone_number, id)) другой такой запрос

> cur.execute("INSERT INTO contacts (FIO, phone, born) VALUES(?, ?, ?)", info) вот это правильно > cur.execute("UPDATE contacts SET phone={0} WHERE id={1}".format(phone_number, id)) вот так нельзя

Спасибо!

phone_number = "123 WHERE id=5; DROP TABLE contacts; UPDATE contacts SET phone=123"

это называется SQL-инъекция фишка в том, что юзер может ввести, например, такой номер телефона: 0; DROP TABLE users;

и все, и пизда всем твоим пользователям

это называется SQL-инъекция фишка в том, что юзер может ввести, например, такой номер телефона: 0; DROP TABLE users;

воот

ибо в итоге выполняемый запрос будет выглядеть так: UPDATE contacts SET phone=0; DROP TABLE users; WHERE id=123

ERROR: S client not available

ну да, на WHERE id=123 он охуеет, конечно

зато первые два выполнятся

Хорошо, то есть использование функций модуля sqlite3 (вопросики, а потом пихаю таппл) позволяет мне защититься от инъекции?

да

Или же мне самому ещё надо проводить проверку на вводимые данные?

идеально и так, да согласись, будет странно, если ты позволишь сохранить номер телефона "сосите хуй"

справедливо :)

Или же мне самому ещё надо проводить проверку на вводимые данные?

это уже зависит от тебя, но вообще лишний раз данные юзера хорошо проверить. с другой стороны, когда не разрешают ввести 16-символьный пароль со спецсимволами или емейл a@bc.de, хотя он полностью валидный, мне хочется таких пиздить большими резиновыми черными хуями

лоол)

это уже зависит от тебя, но вообще лишний раз данные юзера хорошо проверить. с другой стороны, когда не разрешают ввести 16-символьный пароль со спецсимволами или емейл a@bc.de, хотя он полностью валидный, мне хочется таких пиздить большими резиновыми черными хуями

жизненно

Особенно про пароль

горю просто

особенно когда делаешь спецсимволов кучу

А оно в ответ: ВАШ ПАРОЛЬ НЕБЕЗОПАСЕН В НЕМ ДОЛЖНА БЫТЬ ОДНА ЦИФРА

А оно в ответ: ВАШ ПАРОЛЬ НЕБЕЗОПАСЕН В НЕМ ДОЛЖНА БЫТЬ ОДНА ЦИФРА

расскажите как правильно валидировать пароли?

Никак

Главное не пустой, и чтобы хэш функции можно было скормить

А дальше пусть только СОВЕТЫ, но никак не Обязательные условия

это бьет по репутации компании, когда сливаются огромные базы паролей от аккаунтов вроде 123456 и иже с ними

Сделать красным шрифтом: У вас пароль небезопасный

никто не читает красный шрифт, если форма сабмитится

главное хранить в открытом виде

И мааааленькую галочку внизу "я знаю что я делаю"

и никакой соли и хешей

Ок, тогда не сабмитить с первого раза

главное хранить в открытом виде

можно хранить суперсекьюрно пароли 123456, а толку?

а то как потом взалывать то

Брутфорс же

Ок, тогда не сабмитить с первого раза

как-то не юзерфрендли

Ок, тогда не сабмитить с первого раза

И добавлять где-то скрытно возможность передать свой пароль

не, я про радужные таблицы и тому подобное