forum.opennet.ru

Составление сообщения

Исходное сообщение

"Результаты анализа системой Coverity безопасности и качества..."
Отправлено Xasd, 25-Фев-12 22:40

интересно что используя нормальные Фрэймворки -- довольно сложновато допустить: CSRF, SQL-Inj, XSS
1. CSRF
...например -- в Django сделать CSRF ошибку -- по сути можно только если НАСИЛЬНО отключить CsrfViewMiddleware
[отключают CsrfViewMiddleware (и их аналоги) в своих проектах -- только глупышки наподобие Александра Соловьёва -- https://bitbucket.org/piranha/byteflow/src/0109284f9a8d/sett... ]
2. SQL-Inj
а допустить SQL-Inj -- ТРУДНО и в случае Объектно-Реляционного-Отображения (ORM) и в случае DB-API
[зато очень ЛЕГКО допустить SQL-Inj -- в PHP при традиционном использовании там MySQL]
3. XSS
создание XSS -- опятьже -- довольно ТРУДНО в Django-подобных-шаблонизаторах, которые поумолчанию всё экранируют, кроме случаев где это не надо
############################## из этого всего делаем вывод ##############################
допускаемые ошибки -- сильно *зависят* от языка и библиотеки. а не только от опыта праграммирования

Исходное сообщение
"Результаты анализа системой Coverity безопасности и качества..." Отправлено Xasd, 25-Фев-12 22:40
интересно что используя нормальные Фрэймворки -- довольно сложновато допустить: CSRF, SQL-Inj, XSS 1. CSRF ...например -- в Django сделать CSRF ошибку -- по сути можно только если НАСИЛЬНО отключить CsrfViewMiddleware [отключают CsrfViewMiddleware (и их аналоги) в своих проектах -- только глупышки наподобие Александра Соловьёва -- https://bitbucket.org/piranha/byteflow/src/0109284f9a8d/sett... ] 2. SQL-Inj а допустить SQL-Inj -- ТРУДНО и в случае Объектно-Реляционного-Отображения (ORM) и в случае DB-API [зато очень ЛЕГКО допустить SQL-Inj -- в PHP при традиционном использовании там MySQL] 3. XSS создание XSS -- опятьже -- довольно ТРУДНО в Django-подобных-шаблонизаторах, которые поумолчанию всё экранируют, кроме случаев где это не надо ############################## из этого всего делаем вывод ############################## допускаемые ошибки -- сильно зависят от языка и библиотеки. а не только от опыта праграммирования

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> интересно что используя нормальные Фрэймворки -- довольно сложновато допустить: CSRF, > SQL-Inj, XSS > 1. CSRF > ...например -- в Django сделать CSRF ошибку -- по сути можно только > если НАСИЛЬНО отключить CsrfViewMiddleware > [отключают CsrfViewMiddleware (и их аналоги) в своих проектах -- только глупышки наподобие > Александра Соловьёва -- https://bitbucket.org/piranha/byteflow/src/0109284f9a8d/settings.py > ] > 2. SQL-Inj > а допустить SQL-Inj -- ТРУДНО и в случае Объектно-Реляционного-Отображения (ORM) и в > случае DB-API > [зато очень ЛЕГКО допустить SQL-Inj -- в PHP при традиционном использовании там > MySQL] > 3. XSS > создание XSS -- опятьже -- довольно ТРУДНО в Django-подобных-шаблонизаторах, которые поумолчанию > всё экранируют, кроме случаев где это не надо > ############################## из этого всего делаем вывод ############################## > допускаемые ошибки -- сильно зависят от языка и библиотеки. а не только > от опыта праграммирования
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру