Rincewind

Varbūt gettext?

Pietiek ar izsargāšanos no sql injekcijām un, varbūt, kādu nevēlamu html tagu izgriezšanu.

Aha, kā tad.

<a href="www.BunniesAndSquirrels.com" onClick="OpenHundreadPenisEnrargementPopups();">Velams tags</a>

Offtopic: Tad piemēram, ja man ir lauks, kura vērtība būs tikai 0 vai 1, tad labāk būtu izmantot enum('0', '1'), tādejādi paātrinot ātrdarbību? :)

Tāds enum tāpat aizņems vienu baitu katram ierakstam, nekādam ieguvumam salīdzinot ar tinyint(1) nevajadzētu būt. Jebkurā gadījumā ar šādām mikrooptimizācijām jūtamas ātrdarbības izmaiņas neiegūsi, met mieru.

$a = array_fill(0, 10, '*');
print_r($a);

šeit ir topiks, kurā ir links uz git branch-u ar divām jaunām opcijām:

 

HTML.SafeIframe / bool, default: FALSE - atļaut ifreimus

URI.IframeHostWhitelist / list, default: array() - kādos domeinos atļaut ifreimus.

Viņš share linkus par Youtubes ifreimu arī pārveido?

Vispār neoficiālus filtrus negribas īsti likt, tad jāseko līdz updeitiem un bugfixiem.

Tātad HTMLPurifier ar jauno Youtube embed formātu (iframe) strādāt nemāk. Uzrakstīju regexpus, viņi strādā korekti. Bet tā kā es viņos īsti nejēdzu, varbūt te ir ieviesusies kāda kļūda caur kuru mani ļauni hakeri uzreiz uzlauzīs?

Divi preg_replace tur ir lai strādātu arī ar share linku. Pirmais pārveido iframe uz share linku, otrais share uz iframe.

$from = '/\<iframe.+(http\:\/\/w{1,3}\.youtube\.com)\/embed\/(\w{11}).*\>.*\<\/iframe\>/';
$to   = '<a href="\\1/watch?v=\\2"></a>';
$return = preg_replace($from, $to, $return);

ŠEIT HTML PURIFIER MAGIC

$from = '/<a href=\"http:\/\/(w{1,3}).youtube.com\/watch\?v=(\w{11})\"\>.*<\/a>/';
$to   = '<iframe title="YouTube video player" width="445" height="280" src="http://www.youtube.com/embed/\\2?rel=0" frameborder="0" allowfullscreen></iframe>';
$return = preg_replace($from, $to, $return);

Uz servera sourci arī skatījies?

A ja nomaina uz:

$vecais = '../gaisazveeri/;
$jaunais = 'gaisazveeri/';

Kādiem vēl lietotājiem? Hakeriem!!! Kuri nospēruši datubazi kopā ar serveri, monitoru un divām alus pudelēm!

Tāpat tak jāhešo vaļā, kāda starpība

return md5($salt1.$salt2.$password)===$db_password;
vai
return md5($password)===$db_password;

Jautājums vairāk par savu salt katram lietotājam, vai tas ir efektīvs veids kā sargāt paroles?

A kā jums variants ka katram ierakstam ir savs atšķirīgs salt?

$salt=md5(uniqid()), $password = md5($salt.$password) un abus glabāt datubāzē?

Bruteforce masveidā nestrādās, jālauž katra parole atsevišķi. Vēl drošībai var kaut kur php failā papildus salt ielikt, kas būs visiem vienāds.

Varbūt kāds ir saskāries. Kā saprotu ajax uz citu domēnu upload taisīt nemāk dēļ Same Origin Policy.

Ko tam būtu labāk izmantot, easyXDM vai ar iframe (kā es saprotu var gan no pamatlapas izsaukt frame js funkcijas, gan otrādi)?

Pats vēl mēģinājis neesmu, pagaidām gribu uzzināt uz kādām problēmām var uzrauties.

Nu maini ar JS lielajai bildei src, neesi taču nīkulis?

Forši... )

 

<?php

  $i = 0;
  while( $i < 3 ) {
     echo 'whatever';
     $i++;      
  }

Ko piekasies? Raksti while(1) un viss strādās.

Man nekādas matemātiskās izglītības protams nav, bet kur tur faktoriālis? Parasta pakāpe tak sanāk.

Atbildot uz uzdoto jautājumu - var!

Ticu Sātanam. http://www.thesatanicbiblefree.com/

Okultisms! (rock)

Es ticu šim cilvēkam: Mēnesis neeksistē

Ļoti pārliecinoši pierādījumi!

Tikai teoretiski, pie apstaklju sakritiibas .... :(

Garantijas nav nekaadas ... viss atkariigs no brauzera godaprta + X apstakljiem .

Es ar FireBug kādreiz skatījos, viņš $_POSTā rādīja "name=123&name=234&name=345", vai kaut kā tā. Ne visi browseri tā dara? PHP galā it kā atšķirībām būt nevajadzētu.

Man liekas ka formas elementi ar vienādiem vārdiem nonāk iekš PHP kā masīvi.

Būs $_POST['a'] un $_POST['b'], pa kuriem var cikloties uz nebēdu, vai tad ne?

Palasi vairāk par "blind sql injection" un varbūt vēl idejas radīsies ;)

http://www.securitydocs.com/library/2651

http://en.wikipedia.org/wiki/SQL_injection#Blind_SQL_injection

http://www.securitytube.net/video/704

http://technet.microsoft.com/en-us/library/cc512676.aspx

http://seclists.org/bugtraq/2005/Feb/att-288/zk-blind.txt

Radās doma ka varētu ar viltīgiem subselektiem dabūt jebkuras tabulas jebkura ieraksta vērtību. Laiks gan pamatīgi jāpatērē. Nezinu vai reāli strādās, vajadzēs kādreiz pamēģināt.

lala.php?article=1" or "1" = "1

Jā, šādu es arī izdomāju. Neko sliktāku gan ne, izdzēst db vai kaut ko citu sačakarēt man nesanāca :)

Pilnībā piekrītu ka dati jāpārbauda.

Bet šinī konkrētā gadījumā neko nograut nav iespējams, vismaz nekādas iespējas to izdarīt neredzu.

Citādi var sanākt kaut kas līdzīgs šim:

http://tywkiwdbi.blogspot.com/2008/12/commentary-on-math-education.html

Labs :)

Nu nez. Man liekas ka jQuery/JS = c++/assembler

Protams ne tik izteikti, bet papildus abstrakcijas līmenis kas ļauj vienkāršot un paātrināt darbu ir. jQuery var efektīvi izmantot vispār neko nezinot par JS.

Sākt mācīties JS ar Freimworku palīdzību ir aptuveni tas pats kā sākt mācīties aritmētiku ar kalkulatora palīdzību ;)

Kapēc gan ne? 90% webu programmētājiem pilnībā pietiks ar jQuery, praktiskais labums no viņa ir acīmredzams.

Viens no labākajiem resursiem par JS: MDN

Ticu un viņš ir...

Kaut kā jocīgi. Ja tici, tātad atzīsti ka var arī nebūt. Ja ir, tad tu zini nevis tici.

Rincewind, paldies, tas atrisināja problēmu, bet es īsti nesapratu risinājumu. Kā rezervēts?

Ir vārdi kurus izmanto pats SQL lai saprastu tavas komandas. SELECT, INSERT utt. READ arī.

Te ir pilns saraksts

READ varētu būt rezervēts.

Pamēģini:

UPDATE articles SET `read` = `read`+1 WHERE id = $arid