1.1, VoDA (ok), 15:53, 01/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –11 +/– |
Вроде как бОльшая часть этих ошибок - чисто PHP или близкие к нему.
Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей )))
| |
|
2.3, XPEH (?), 15:59, 01/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Пишите люди на Java и не будет SQL injection
Ну да конечно.
| |
2.6, Аноним (-), 16:04, 01/07/2011 [^] [^^] [^^^] [ответить]
| +12 +/– |
Жабистов сразу видно: они полагают что умный фреймворк почему-то заменяет программеру мозг. В результате - самое ламерское шифрование, идиотские ошибки авторизации, тотальное доверие вводу пользователя и прочие классические баги - у жабистов просто дуром прут. А что, за них же фреймворк подумает.
| |
|
3.12, VoDA (ok), 16:52, 01/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Жабистов сразу видно: они полагают что умный фреймворк почему-то заменяет программеру мозг.
> В результате - самое ламерское шифрование, идиотские ошибки авторизации, тотальное доверие
> вводу пользователя и прочие классические баги - у жабистов просто дуром
> прут. А что, за них же фреймворк подумает.
Шифрование, ЭЦП по ГОСТ-у. Может С++ или PHP делает не ГОСТ шифрование, но это дело наказуемое )))
Я считаю, что если есть возможность сделать ошибку программер рано или поздно ее совершит. А на большом проекте однозначно совершит.
| |
|
4.20, Карбофос (ok), 23:47, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>А на большом проекте однозначно совершит.
конечно совершают, ибо только лицемер может заявить, что он не делает ошибок, или делает их мало. а недалёкие еще и напишут, что фреймворк может их избавить от страданий переполнения стека, уборки мусора и пр.
много недочетов в программе возникает при ее написании. и это естесственно для человека, невозможно все знать, или предвидеть. тем более невозможно предвидеть, к примеру, ошибочную работу железки. главные задачи программиста (если хотите, инженера-программиста) попытаться предвидеть ошибочные ситуации и преждевременно пытаться их присекать; выявить большинство таких ошибок и недочетов в фазе тестирования.
| |
4.27, AHAHAC (ok), 02:37, 03/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Проснулся!
$ openssl engine gost -t -c -vvvv
(gost) Reference implementation of GOST engine
[gost89, gost89-cnt, md_gost94, gost-mac, gost94, gost2001, gost-mac]
[ available ]
CRYPT_PARAMS: OID of default GOST 28147-89 parameters
(input flags): STRING
| |
|
|
2.8, klalafuda (?), 16:31, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей )))
Почему то автоматически вспоминается боян про дурака и стеклянный хер.
| |
|
3.10, VoDA (ok), 16:45, 01/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
почему то в 2011 году еще существуют ошибки типа SQL injection... я сильно удивлен вообще их наличием. И полный ахтунг, что это САМАЯ критичная ошибка.
| |
|
|
5.15, pro100master (ok), 18:57, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
А при чем тут она? Данные надо проверять. Аксиома родилась на следующий день, когда первую программу дали первому пользователю :) Так что причины всех ошибок - в голове.
| |
5.21, Щекн Итрч (ok), 00:23, 02/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Пока "программист" НЕ СТАНЕТ чистить запросы - будут инъекции.
При чем там пхп ваще?
| |
|
6.22, PereresusNeVlezaetBuggy (ok), 00:56, 02/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Пока "программист" НЕ СТАНЕТ чистить запросы - будут инъекции.
> При чем там пхп ваще?
Притом, что PHP и другие языки (фреймворки, среды...), которые позволяют легко обращаться со строками, а также «простота» самого SQL провоцируют написание кода в духе:
query("SELECT * FROM table WHERE id = " . $_REQUEST["id"]);
Более того, не раз и не два видел руководства по написанию программ на самых разных языках (но чаще всего именно на PHP), где предлагалось так писать программы, даже без комментария, что это плохо. Чего удивляться, что юные индусские умы, которые банально (ещё) не в курсе нюансов того же SQL, пишут вслед такой же код. Сил ругаться уже нет, просто мрачно считаю.
| |
|
5.25, Sw00p aka Jerom (?), 15:16, 02/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
идём по ссылке и видим
// Formulate Query
// This is the best way to perform an SQL query
// For more examples, see mysql_real_escape_string()
$query = sprintf("SELECT firstname, lastname, address, age FROM friends WHERE firstname='%s' AND lastname='%s'",
mysql_real_escape_string($firstname),
mysql_real_escape_string($lastname));
// Perform Query
$result = mysql_query($query);
пс: уже радует ))))))))))))
| |
|
|
|
2.9, Аноним (-), 16:44, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей
Девятки десятых производительности вы лишитесь. И не буду про магический float напоминать.
| |
|
3.11, VoDA (ok), 16:49, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Пишите люди на Java и не будет SQL injection и минимум десятки указанных уязвимостей
> Девятки десятых производительности вы лишитесь. И не буду про магический float напоминать.
0,9% производительности я могу потратить за удобство разработки ;)))
много лет занимаюсь разработками больших корпоративных систем. Везде только int и long - никакой потери точности не допускается. ИМХО float нужен только для обсчета мега-задач по физике и анализу результатов экспериментов, когда потеря точности компенсируется тем, что процессор может оперировать подобными данными напрямую, чем ускоряет обработку.
Для точных систем считаю, что нужно делать обертку поверх int/long и самостоятельно обрабатывать данные без потери точности.
| |
|
4.14, Andrew Kolchoogin (?), 17:20, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Для точных систем считаю, что нужно делать обертку поверх int/long и самостоятельно
> обрабатывать данные без потери точности.
Откройте для себя GNU GMP.
Там есть Arbitrary Precision и для int, и для float. И ещё для рациональных дробей.
| |
|
3.29, cerberus (?), 14:26, 04/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Девятки десятых производительности вы лишитесь.
А вы уверены, кто вам такие сказки рассказал? PHP каждый божий раз компилирует скрипт и чем больше скрипт, тем дольше компиляция. Есть правда всякие механизмы кеширования, но это костыли, не более. Тогда как JAVA WEB приложение компилируется (JIT) один раз при его запуске и каждый HTTP запрос работает на тред-пуле (Thread pool). Итог: JavaWeb кушает больше ОЗУ, чем PHP, зато ест меньше процессорного времени, ибо не компилирует скрипт при каждом HTTP запросе.
| |
|
4.33, Guest (??), 17:28, 04/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ага, видимо кое кто не слышал про кэширование. Откройте для себя eaccelerator, к примеру
| |
|
|
|
|
2.7, letsmac (ok), 16:04, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
3 - не проверяем размер и корректность данных.
20 - забываем выделить память.
| |
|
1.5, Аноним (-), 16:02, 01/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вроде все честно относительно. Ошибки наиболее типичные и хорошо наблюдаемые на практике.
| |
|
2.16, pro100master (ok), 18:59, 01/07/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вроде все честно относительно. Ошибки наиболее типичные и хорошо наблюдаемые на практике.
Более того - все они сводятся к одной единственной - отсутствие должной проверки входных данных :)
| |
|
|
|
5.19, PereresusNeVlezaetBuggy (ok), 22:41, 01/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Согласен - двояко, но спорно. Проверка прав, локально, это тоже входящие :)
Сама проверка — т.е., авторизация — идёт отдельным пунктом. Здесь же речь о кривости рук админа, которые к данным от юзера-хакера не относятся. :) Ну да не суть, это я так, по привычке придираюсь... :)
| |
|
|
|
|
1.23, ZloySergant (ok), 14:16, 02/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Хм. Штук пять из этого списка лечится умением (не учебой, епт) программирования на асме. В жестких рамках синтаксиса AT&T.
З.Ы. Я не призываю писать код на асме. Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.
| |
|
2.24, Sw00p aka Jerom (?), 15:13, 02/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.
умеющие им пользоваться ваще пишут свои языки и свои оси ))
| |
2.26, Ytch (?), 02:24, 03/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ...лечится умением (не учебой, епт) программирования на асме.
> Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.
Точно! Это как прививка - если есть, то срабатывает автоматически. ))
| |
|
3.28, AHAHAC (ok), 02:46, 03/07/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> ...лечится умением (не учебой, епт) программирования на асме.
>> Просто умение им пользоваться налагает определенный отпечаток на мышление программиста.
> Точно! Это как прививка - если есть, то срабатывает автоматически. ))
Также и автоматически отключается, когда руководитель проекта дышит в затылок,
со словами "Харош х...й заниматься, давай код генерируй!"
| |
|
2.34, Карбофос (ok), 10:02, 05/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
минимизация объёма кода и/или повышение его эффективности, знание "подводных камней" архитектуры и фреймворков...
| |
|
|