Т.е. если я, Вася Пупкин отправлю заявку на регистрацию как СМИ и рядом со мной направят такую же заявку еще миллионы человек, то кого именно подпишут под этот закон? Всех? Меня?
Я конечно понимаю, что для них значения не имеет кого наказать, поэтому выберут случайного человека для показательной порки. Но! Сразу встречный риторический вопрос «Это действительно законы той страны, которой я должен быть абсолютно предан?»
Конечно можно — допустим определить «есть ли дырки». Но в данном случае речь идет о банальном переборе всех элементов массива, а не каких-либо других экзотических обработках массивов.
Вариант с for можно использовать только в том случае, если действительно все ключи массива $arr расположены в порядке возрастания без пропусков. И об этом не стоит забывать…
А чтение по диагонали уже не в моде? Имхо, хоть это и разные техники чтения, но все таки «по старинке» получается и быстрее и смысл всего текста уловить проще. Более того, легче вернуться для повторного чтения/переосмысления к определенному абзацу при чтении «по диагонали».
Ну и как верно уже заметили в комментариях, есть разные участки текста — одни читаются быстрее, а другие медленней.
Для использования [[[[[[[[[[[[[[[[[[[[[[[[[[]]]]]]]]]]]]]]]*id:gte=`5`:then=`phpinfo();`:else=`2`:math=`?+1`]] нужно иметь доступ к управлению контентом. Мне кажется что кто-попало не имеет такой доступ
И что вас тут интересует? Стандартные SQL-injection, XSS и т.п.? Да, этого почти нет. Зато уязвимостей рода LFI и выполнение произвольного кода — за глаза. Самое интересно, что именно
За счет хранения пользовательских данных в БД
эксплуатация банальных уязвимостей доступна только тем, кто знает MODX. Вот скажите, разве нормальному человеку придет в голову использовать такую строчку для выполнения произвольного кода: [[[[[[[[[[[[[[[[[[[[[[[[[[]]]]]]]]]]]]]]]*id:gte=`5`:then=`phpinfo();`:else=`2`:math=`?+1`]]
Хотя не спорю, после моих багрепортов это дело поправили. Но кто мешает нам задействовать 2 разных поля одной формы получая в конечном итоге запрос вида (демо на modx.com): &aField=[[*[[*id:gte=`1`:then=`id`:else=`&bField=id`]]]]
А еще можно сделать интеграцию с RSS лентой.
Но и конечно же чтобы обезопасить себя нужно фильтровать все входящие данные. Т.е. писать что-то типа такого: str_replace(array('[',']','`'),array('[',']','`'), $value);
При этом нужно знать еще одну особенность — сохранение пользовательских данных в ТВ параметр при определенных условиях позволяет выполнить произвольный код. Поэтому создавая документы по данным формы с фронта нужно данные фильтровать не только на предмет XSS, но еще и на наличие начальных фраз типа @ EVAL, @ SELECT.
Если вы думаете, что на этом все, то нет. При определенных условиях пользователь может обойти ограничения безопасности. Поэтому нужно знать как расширять профиль пользователя при необходимости (а инструкций нет — разбирайтесь в коде сами) + нужна правильная настройка политик безопасности, а их тут миллионы комбинаций (шаг не в ту сторону — пиши пропало).
Итого, MODX — Неуловимый Джо. Это еще год назад заметил один из членов сообщества MODX (не буду показывать пальцем). Таким образом, вся безопасность MODX основана лишь на отсутствии желания у нормальных ребят разбираться во всем этом бреде, т.к. вместо того, чтобы проверить парочку новых компонентов для той же самой Joomla потребуется время на взрыв стереотипов и разбор этого «удобного» до поры до времени синтаксиса.
P.S. Сорри, не сдержался. Можете дальше нахваливать MODX.
Мне вот всегда было интересно узнать о преимуществах HTML Purifier в сравнении с Jevix. Нет, я конечно понимаю, что Purifier легко масштабируется при помощи фильтров. Но такую плевую задачку как подмена ссылки и добавление target="_blank" можно решить пропустив текст через функцию после обработки Jevix'ом.
Мне почему-то больше нравятся задачки на знание особенностей языка, т.к. даже если ответ не корректный, то после вопроса "почему ты так решил" становится ясно:
будет ли он каждые пять минут лазить в мануал, дабы узнать как построить цикл «for» или отсортировать массив, или еще хуже — будет отвлекать окружающих для этой цели
Планируется ли внедрить 2 типа цен у компонентов? с разным типом «лицензии». Одна цена для разового приобретения компонента на 1 сайт. А другая цена для приобретения пожизненного для любого числа сайтов.
Т.е. если я, Вася Пупкин отправлю заявку на регистрацию как СМИ и рядом со мной направят такую же заявку еще миллионы человек, то кого именно подпишут под этот закон? Всех? Меня?
Я конечно понимаю, что для них значения не имеет кого наказать, поэтому выберут случайного человека для показательной порки. Но! Сразу встречный риторический вопрос «Это действительно законы той страны, которой я должен быть абсолютно предан?»
Так а тут что?
Или мы о разных вещах говорим?
Ну и как верно уже заметили в комментариях, есть разные участки текста — одни читаются быстрее, а другие медленней.
ОМГ. Смотрите видео внимательно, а потом учите меня делать сайты
[[[[[[[[[[[[[[[[[[[[[[[[[[]]]]]]]]]]]]]]]*id:gte=`5`:then=`phpinfo();`:else=`2`:math=`?+1`]]Хотя не спорю, после моих багрепортов это дело поправили. Но кто мешает нам задействовать 2 разных поля одной формы получая в конечном итоге запрос вида (демо на modx.com):
&aField=[[*[[*id:gte=`1`:then=`id`:else=`&bField=id`]]]]А еще можно сделать интеграцию с RSS лентой.
Но и конечно же чтобы обезопасить себя нужно фильтровать все входящие данные. Т.е. писать что-то типа такого:
str_replace(array('[',']','`'),array('[',']','`'), $value);При этом нужно знать еще одну особенность — сохранение пользовательских данных в ТВ параметр при определенных условиях позволяет выполнить произвольный код. Поэтому создавая документы по данным формы с фронта нужно данные фильтровать не только на предмет XSS, но еще и на наличие начальных фраз типа @ EVAL, @ SELECT.
Если вы думаете, что на этом все, то нет. При определенных условиях пользователь может обойти ограничения безопасности. Поэтому нужно знать как расширять профиль пользователя при необходимости (а инструкций нет — разбирайтесь в коде сами) + нужна правильная настройка политик безопасности, а их тут миллионы комбинаций (шаг не в ту сторону — пиши пропало).
Итого, MODX — Неуловимый Джо. Это еще год назад заметил один из членов сообщества MODX (не буду показывать пальцем). Таким образом, вся безопасность MODX основана лишь на отсутствии желания у нормальных ребят разбираться во всем этом бреде, т.к. вместо того, чтобы проверить парочку новых компонентов для той же самой Joomla потребуется время на взрыв стереотипов и разбор этого «удобного» до поры до времени синтаксиса.
P.S. Сорри, не сдержался. Можете дальше нахваливать MODX.32 декабря