По словам юриста крупной юридической компании, пожелавшего остаться неназванным, в сложившейся ситуации возможны два варианта развития событий: либо собственники WebMoney.UA смогут доказать (в том числе в судебном порядке) правомерность своей деятельности в Украине, либо им придется уйти из страны. В последнем случае пользователям электронной системы расчетов вряд ли удастся вернуть свои деньги.
Подозреваю, что пока народ, чьи деньги оказались «замороженными», не начнет действовать так же активно, как в случае с EX.ua, и пока этот случай не примет такой же резонанс, WebMoney ничего не добьется. У государства нереально перетянуть канат, за край которого оно уже ухватилось. Тем более, если этот канат сплетен из денежных купюр.
Согласен с автором. Часто умиляют описание действий в комментариях типа:
// блин, так хочется спать, но я все равно фигачу тут
// потому что утром дедлайн, а у меня и конь не валялся
Но все же в некоторых случаях, когда берешься дописывать начатое кем-то, либо просто дорабатывать что-либо, открываешь код и думаешь «Господи, почему ЭТО никак не закомментировано??» В таких случаях хочется кому-то навалять, и обычно под раздачу попадает кот.
Давно мечтаю об электрочайнике на рабочем месте. Обычно имею привычку забывать о включенных чайниках на кухне. Обычный чайник я уже несколько раз спалил на плите. Купил электро, но вечно забываю о нем, а когда вспоминаю — он уже холодный, и приходится включать его заново xD
Посмотрел на это фото и неожиданно вспомнил свое участие в «космической программе».
Было это пару лет назад. Так и хочется сказать «смеркалось», но нет. Был самый разгар дня. На улице жара, градусов 35 на солнце.
Я перед двором ковырялся с мотоциклом, когда услышал бешеный взрыв. Причем у себя во дворе. Пи**нуло так знатно, что сработала сигнализация в ближайших автомобилях. Я бросился во двор и увидел картину маслом. В огороде воронка, глубиной около 30 см и около 1 метра в диаметре, развороченная грядка с помидорами и полное отсутствие забора с соседним участком. Точнее, он был, но только мирно лежал в сторонке.
А было вот что. Бабулька решила выгнать самогон (для домашнего использования). Для этих целей взяла 40-литровый аллюминиевый «молочный» баллон. «Зарядила» его необходимыми компонентами (сахар, дрожжи и пр). И решила для ускорения процесса поставить его в огороде на самом солнцепеке. Буквально на пару часов. Предварительно наглухо запечатав его. Думаю, что этого всего вполне хватило бы для запуска Шаттла на орбиту. Но баллон так высоко улететь не смог. Через пару часов он зашипел, засвистел, упал на бок, начал вертеться на месте, разворотил грядку помидоров, затем как шарахнул и улетел к соседям в огород, сломав по дороге деревянный полутораметровый забор, и удачно «приземлился». Правда, уже пустой. Хорошо, что «топливо» (т.е. брага) быстро закончилось. А то мало ли, что он еще натворил бы.
Кстати, моя собака, наблюдавшая за сим действом, очень долго боялась из будки вылезать. Не мудрено, такой стресс испытала!
SELECT phone_number FROM users WHERE name = 'Joe'; DROP TABLE users; --'
уже невозможно будет выполнить, ибо после преобразования в сущности он будет выглядеть примерно так:
SELECT phone_number FROM users WHERE name = 'Joe'; DROP TABLE users; --'
По поводу 2 (редактирование) — тут я вообще не вижу проблемы :)
К примеру, в БД записана строка Pupkin " Ололоша"
В форму вы передаете эту строку «как есть». В TEXTAREA все HTML сущности автоматически преобразуются в оригинальные символы (но, естественно, не исполняются при этом). В исходном коде вы увидите примерно сделующее:
<textarea>Pupkin "Ололоша"</textarea>
После передачи этой строки постом вы принимаете ее, заново преобразуете все спецсимволы в их сущности и перезаписываете строку в базе.
При таком подходе «злой юзер» не сможет выполнить SQL инъекцию, и у него никак не получится встроить в HTML страницу «злой код», так как он просто не выполнится.
… но при этом портит данные так, что кроме как в HTML их никуда и вывести-то нельзя
В этом я с вами полностью согласен. Часто, работая с API того же YouTube приходится мучиться с принятыми данными, ибо ютьюб отдает данные с HTML сущностями (в частности — заголовки, ключи и описание видео). Но, все же, в 90% случаев информация в БД хранится именно для того, чтобы отобразить ее на HTML странице. В меньшей степени — для служебного пользования (авторизация, верификация и пр). И в еще меньшей степени — для API или прочих видов нестандартного отображения информации.
Если я не прав — поправьте меня и направьте на путь истинный.
Я предпочитаю хранить в базе HTML сущности «опасных» спецсимволов.
Да, это несколько увеличивает объем хранимых данных, но убивает сразу двух зайцев:
1) как при записи в БД, так и при выборке из нее снижает к нулю возможность выполнить SQL Injection.
2) не нужно заботиться о правильности экранирования данных при сравнении их с данными в БД при выборке определенной информации.
Например, человек в поле «О себе» написал: I love <!--"Mc'Donalds"-->. Ну вот захотел он так написать и все тут.
Перед записью в БД я экранирую эти данные в вот такую строку:
I love <!--"Mc'Donalds"-->
И уже эту строку пишу в БД. А при отображении в браузер показываю ее «как есть».
Соответственно, если, к примеру, какой-то не очень умный человек захочет через поиск по сайту найти пользователя, у которого в профиле указано <!--"Mc'Donalds"-->, я перед поисковым SQL запросом в любом случае экранирую введенные данные в HTML сущности и сравниваю уже как сущности с сущностями.
Сделайте, плиз, чтобы все внешние ссылки открывались в новой вкладке.
Конечно, можно нажать «ПКМ» => «Открыть в новой вкладке», но это же время. А по ссылкам приходится переходить часто, при этом терять текущую вкладку не хочется. Это же касается и самого Хабра.
Мелочь, но из таких мелочей жизнь становится лучше :)
В Украине давно парализованы промышленность и все исследования.
Кстати, все смеются над российским Сколково, а украинские ученые мечтают хотя бы об этом.
Несчастные китайские вебмастера. Чтобы запустить сайт (не ширпотреб), написание движка, дизайна и SEO откладываются на второй план по сравнению с бюрократическими заморочками.
Не то что наша братия. Напишут, выложат сотню шлаковых сайтов. Какой из них стрельнет — будет основным. Остальные 99 становятся для него сателлитами.
Вот только хотел об этом сказать :)
Не нужно выкладывать такие статьи, нас же читают дети чиновники. А они имеют привычку перенимать самый дурной опыт из Забугорья :(
finance.liga.net/personal/2013/6/12/articles/34431.htm
Подозреваю, что пока народ, чьи деньги оказались «замороженными», не начнет действовать так же активно, как в случае с EX.ua, и пока этот случай не примет такой же резонанс, WebMoney ничего не добьется. У государства нереально перетянуть канат, за край которого оно уже ухватилось. Тем более, если этот канат сплетен из денежных купюр.
Но все же в некоторых случаях, когда берешься дописывать начатое кем-то, либо просто дорабатывать что-либо, открываешь код и думаешь «Господи, почему ЭТО никак не закомментировано??» В таких случаях хочется кому-то навалять, и обычно под раздачу попадает кот.
Ну, до него добежать я обычно не забываю. А когда начну забывать, рабочее место мне уже не понадобится ;-)
Было это пару лет назад. Так и хочется сказать «смеркалось», но нет. Был самый разгар дня. На улице жара, градусов 35 на солнце.
Я перед двором ковырялся с мотоциклом, когда услышал бешеный взрыв. Причем у себя во дворе. Пи**нуло так знатно, что сработала сигнализация в ближайших автомобилях. Я бросился во двор и увидел картину маслом. В огороде воронка, глубиной около 30 см и около 1 метра в диаметре, развороченная грядка с помидорами и полное отсутствие забора с соседним участком. Точнее, он был, но только мирно лежал в сторонке.
А было вот что. Бабулька решила выгнать самогон (для домашнего использования). Для этих целей взяла 40-литровый аллюминиевый «молочный» баллон. «Зарядила» его необходимыми компонентами (сахар, дрожжи и пр). И решила для ускорения процесса поставить его в огороде на самом солнцепеке. Буквально на пару часов. Предварительно наглухо запечатав его. Думаю, что этого всего вполне хватило бы для запуска Шаттла на орбиту. Но баллон так высоко улететь не смог. Через пару часов он зашипел, засвистел, упал на бок, начал вертеться на месте, разворотил грядку помидоров, затем как шарахнул и улетел к соседям в огород, сломав по дороге деревянный полутораметровый забор, и удачно «приземлился». Правда, уже пустой. Хорошо, что «топливо» (т.е. брага) быстро закончилось. А то мало ли, что он еще натворил бы.
Кстати, моя собака, наблюдавшая за сим действом, очень долго боялась из будки вылезать. Не мудрено, такой стресс испытала!
Запрос типа
уже невозможно будет выполнить, ибо после преобразования в сущности он будет выглядеть примерно так:
По поводу 2 (редактирование) — тут я вообще не вижу проблемы :)
К примеру, в БД записана строка Pupkin " Ололоша"
В форму вы передаете эту строку «как есть». В TEXTAREA все HTML сущности автоматически преобразуются в оригинальные символы (но, естественно, не исполняются при этом). В исходном коде вы увидите примерно сделующее:
После передачи этой строки постом вы принимаете ее, заново преобразуете все спецсимволы в их сущности и перезаписываете строку в базе.
При таком подходе «злой юзер» не сможет выполнить SQL инъекцию, и у него никак не получится встроить в HTML страницу «злой код», так как он просто не выполнится.
В этом я с вами полностью согласен. Часто, работая с API того же YouTube приходится мучиться с принятыми данными, ибо ютьюб отдает данные с HTML сущностями (в частности — заголовки, ключи и описание видео). Но, все же, в 90% случаев информация в БД хранится именно для того, чтобы отобразить ее на HTML странице. В меньшей степени — для служебного пользования (авторизация, верификация и пр). И в еще меньшей степени — для API или прочих видов нестандартного отображения информации.
Если я не прав — поправьте меня и направьте на путь истинный.
на выходе можно увидеть нечто вроде
или вообще просто
Ну никакой фантазии, господа. Будто рубанком по полену! А ведь программирование — это тонкая и творческая профессия xDD
Да, это несколько увеличивает объем хранимых данных, но убивает сразу двух зайцев:
1) как при записи в БД, так и при выборке из нее снижает к нулю возможность выполнить SQL Injection.
2) не нужно заботиться о правильности экранирования данных при сравнении их с данными в БД при выборке определенной информации.
Например, человек в поле «О себе» написал: I love <!--"Mc'Donalds"-->. Ну вот захотел он так написать и все тут.
Перед записью в БД я экранирую эти данные в вот такую строку:
И уже эту строку пишу в БД. А при отображении в браузер показываю ее «как есть».
Соответственно, если, к примеру, какой-то не очень умный человек захочет через поиск по сайту найти пользователя, у которого в профиле указано <!--"Mc'Donalds"-->, я перед поисковым SQL запросом в любом случае экранирую введенные данные в HTML сущности и сравниваю уже как сущности с сущностями.
Конечно, можно нажать «ПКМ» => «Открыть в новой вкладке», но это же время. А по ссылкам приходится переходить часто, при этом терять текущую вкладку не хочется. Это же касается и самого Хабра.
Мелочь, но из таких мелочей жизнь становится лучше :)
В следующий раз автор статьи навряд ли наступит на те же грабли.
Респект! Значит, наш кинематограф не до конца умер.
З.Ы. Улыбнуло, когда в титрах заметил громкую фразу:
Это хорошо, что модель вертолета в титрах не указана. Это придает солидности xDD
Кстати, все смеются над российским Сколково, а украинские ученые мечтают хотя бы об этом.
Не то что наша братия. Напишут, выложат сотню шлаковых сайтов. Какой из них стрельнет — будет основным. Остальные 99 становятся для него сателлитами.
Не нужно выкладывать такие статьи, нас же читают
детичиновники. А они имеют привычку перенимать самый дурной опыт из Забугорья :(