{% else-1 %}
Обновить
* Тема закрыта!
61.
Saint * 0.88
[автор] (27 фев 2017, 02:00) [0/0] [0] [спам] [под]

MazaXakep, my_esc() выполняет свою функцию c ним всё в порядке и работает так как и должен .
нет дыра не конкретно в теме форума .
Что по твоему там по мимо my_esc() ещё должно быть?))
my_esc() отвечает на входящие данные . как и сказал выше . он справляется со своей задачей .
если ты думаешь что дырка в нём ,то тебе стоит понять его ,понять что он делает . заглянув в функцию и прогулив её точно применение.

62. (27 фев 2017, 02:23) [0/0] [0] [спам] [под]

Saint, а ни хочеш мой гкод поковырять?*

63. (27 фев 2017, 02:28) [0/0] [0] [спам] [под]

my_esc это mysql_real_escape_string защищает от sql иньекций
там такой код
$name=my_esc($name);

$msg=my_esc($msg);

а должно бить
$name=my_esc(htmlspecialchars($name));

$msg=my_esc(htmlspecialchars($msg));

64.
Saint * 0.88
[автор] (27 фев 2017, 02:29) [0/0] [0] [спам] [под]

Бишаная каза, на свой код нету времени ))
пиши в аську . может чёт придумаем .ты про тот ajax движок что пол года назад показывал?

65.
Saint * 0.88
[автор] (27 фев 2017, 02:42) [0/0] [0] [спам] [под]

не должен быть . использование htmlspecialchars при входящих данных это быдлокодерство чистой воды . почитай любую документацию о php . где будет сказано что по дефолту людям совеют mysql*_real_escape_string на входящие данные и htmlspec... и ему подобные на исходящие данные . данные нужно записывать в чистом виде . в том в котором они были введены . но не всегда . в некоторых случаях применяется подобный фильтр . от чего кстати вечные жалобы всяких переносов текстов или проблем со всякими кавычками .про документацию . если ты считаешь что твой совет лучше чем совет от тех кто занимается разработкой php ,то подумай сам .
Так что с my_esc всё в порядке . хотя в dcms небольшую регулярку я бы добавил.

в публичных движках типа обсуждаемого dcms . my_esc() выполняет свою функцию верно . с output_text() спорно . но в большинстве случаев тоже всё верно . организация этого дела хромает . но со своими задачами справляется . процентов 90% людей кто юзает dcms годами . даже не знаю о output_text() о его возможностях . о том что аргументы в функции не просто так там присутствуют . и даже спустя столько времени не понимают зачем они там и юзают htmlspecialchars . тут они только от части правы .

66.
Cat * 22.38
(27 фев 2017, 03:50) [0/0] [0] [спам] [под]

Так и хочется снять с языка, "невзъебЁнный хакЫрь", вижу много свободного времени есть, продемонстрируй чего-нибудь по-серьёзнее, это видели, проходили, углубляйся.

67.
Saint * 0.88
[автор] (27 фев 2017, 04:31) [0/0] [0] [спам] [под]

Кот™, процитируй пожалуйста пост ,где я тебя подвёл к такому мнению .
Нет демонстрировать я нечего не буду . Да и новичок я в этой области ,по меркам всего интернета . посему смысла это не имеет . если бы ты обладал немного большим багажом знаний, ты бы понимал ,что подобные xss это шалость . и человек который оценивает это за признаки школоты ,вероятнее всего просто имеет такой круг общения, или сам им является .не спорю ,что бывают интересные и сложные виды атаки . которые в целях познаний интересно протестировать на своих проектах и не только . они исключение .
Добавлю что выше описывалось что тема не об этом . подобные сообщения и такая недальновидность , лечится саморазвитием . Дальновидность это очень хорошие качество ,которое очень поможет в жизни . стоит углубиться.
------
Что в твоём понимание серьезное ? inj , csrf , брут, ssi , Mailbombing (если кто о ней помнит) doss или dos ?

68. (27 фев 2017, 07:08) [0/0] [0] [спам] [под]

Я же говорил что джон гавно

69.
zurix * 3.4
(27 фев 2017, 07:39) [0/0] [0] [спам] [под]

если сравнить с остальными , джон вполне нормальный .

70.
Saint * 0.88
[автор] (27 фев 2017, 07:43) [0/0] [0] [спам] [под]

Creat1ve, ++

Подписаны: 0
Скачать тему | Файлы темы | Фильтр сообщений