Pull to refresh

Comments 24

Глаза от ваших листингов вылезают.

И да, «продвинутыми» эти инъекции не назовешь. Скорее самые базовые. Если злоумышленник видит ошибки — это идиотизм разработчика скрипта.
Идиотизм-то идиотизм, но буквально пару месяцев назад натыкался на подобные сайты, где была возможность проводить инъекции. И, скажу я вам, сайты довольно-таки престижных компаний. Но ихние (произнести слово «их» корректно не поворачивается язык) программисты видимо никогда и не слышали о подобном чуде, как сокрытие ошибок )
Ну так беда в программистах. Мне тяжело представить, где можно найти инъекцию при использовании PDO или подобных оберток.

Вообще, проблема глубже. Проблема в сотнях самоучителей PHP, которые до сих пор учат подходам PHP4, использованию чистого SQL (это и ASP касается) и т.д.
Тогда, если копнуть глубже, то проблема в том, что начинающие программисты не умеют учиться по документации, а главное обращать внимание на подписи к функциям, под которыми есть подпись «устарела» или «использовать не рекомендуется» и т.д.

Ведь написать достойный самоучитель вовремя вряд ли возможно, т.к. технологии развиваются слишком бурно )
Автор, это боян. Годов 2009-х примерно.
Согласен, что боян, читайте внимательно примечания переводчика ;)
Примечания появились уже после того, как переводчик внимательно прочитал этот комментарий.
я, конечно, не хочу никого сейчас обидеть, но почему стало модно оставлять правки к статье прямо под ней, а не отправлять их в личные сообщения автору, как это обычно раньше делалось…

А по поводу «внимательно примечания переводчика прочитайте» извиняюсь и беру слова обратно. Просто действительно задело.
2009-х годов было много? ))

В общем думаю статья все равно полезная. Всегда есть новички, все с чего-то начинали, и им полезно почитать, чтобы потом не наступать на грабли.
UFO landed and left these words here
Фильтровать-то они фильтруют, но многие ли из них, имею в виду начинающих, понимают зачем?
©2002 Next Generation Security Software Ltd
«select * from users where username = '» + username + "' and password = '" + password + "'"

Для кого вы это переводите? Тем, кто до сих пор использует ЭТО, уже ничего не поможет. Даже в классическом ASP, который кое-где еще доживает свой век, уже были параметризованные запросы.
Извините, но не все разработчики знают столько же сколько вы. Во-первых есть начинающие программисты, которым эта информация будет полезна в образовательных целях, а также это интересна с позиции истории.

Только понимая основы возможно действительно научиться чему-либо
Перевожу я это для себя, так сказать из исторического любопытства стал интересен процесс зарождения алгоритмов защиты данных. )
Автор, смените заголовок, убережёте себя от кучи минусов. Это не продвинутые иньекции. Это в лучшем случае «базовые sql иньекции. Руководство для чайников»
Спасибо за подсказку, хотел сохранить оригинальный заголовок для того времени, но видимо сегодня хабражители толерантностью и пониманием не обладают )
В этом случае, так и стоило написать. типа «Понастальгируем. мохнатый год. Продвинутые SQL иньекции». В противном случае, Вы уподобляетесь популярной тизерной сети — «Шок, SQL иньекции! Фото!»

Ну а увидев не то, что ожидали, пользователи минусуют топик.
Должен в комментах уже появится тот, кто скажет три буквы:

PDO
>> В данной работе, мы рассмотрим transact-SQL, использующийся в Microsoft SQL Server

Признаю, что не увидел в мешанине текста эту строку.
UFO landed and left these words here
1) Материал переведен (дата написания оригинала 2002).
2) Понятно, что из-за того, что я забыл о диахроническом аспекте, поэтому первичный заголовок был «продвинутые...».
3) Если вы знаете интересный материал, по схожей тематике на английском, то можете мне ее скинуть, переведу этот материал, если он покажется мне интересным и у меня будет свободное время. :)

Более того, нельзя начинать изучать тему, не зная с чего все начиналось, но наши многие видимо этого не понимают. Предыдущего опыта именно в попытке что-то взломать у меня не было, однако при написании кода, я использую общепризнанные методы защиты, не понимая как этим может воспользоваться редиска — нехороший человек.
Only those users with full accounts are able to leave comments. Log in, please.