Pull to refresh
155
0
Дмитрий Науменко @SilverFire

Yii Framework core developer

Send message

Релиз Yii 2.0.15 и расширений баз данных с исправленными уязвимостями

Reading time4 min
Views11K

Сегодня мы выпускаем обновления Yii для нескольких последних версий 2.0.x и официальных расширений поддержки нереляционных баз данных для исправления найденных уязвимостей. Патчи исправляют проблему в методах слоя ActiveRecord: findOne() и findAll(), которые могут допустить SQL инъекцию, если входящие данные не подготовлены должным образом.


Мы рассматриваем это как уязвимость в Yii потому что документация для этих методов не содержала явного предупреждения о том, что в некоторых случаях передача нефильтрованых пользовательских данных может быть опасной. Мы благодарим Analitic1983 (Habr, GitHub) за обнаружение этой уязвимости.


Проблема относится в большей степени не к самому фреймворку, а к документации по использованию данных методов в приложении. Мы обновили документацию и дополнительно привели примеры кода, который может быть опасен. Однако, обновление документации не исправит приложения, в которых разработчики уже используют методы findOne() и findAll() небезопасно. Чтобы избежать наихудшего сценария – SQL инъекции, мы также изменили поведение этих методов и добавили принудительную фильтрацию входящих данных, которая ограничивает перечень возможных имён столбцов списком свойств модели ActiveRecord.


Исправление, хоть и убирает подавляющее большинство проблем, не исправляет их все, потому дальше в статье мы детально рассмотрим, какой код уязвим и что нужно сделать, чтобы обезопасить себя.

Читать дальше →
Total votes 22: ↑21 and ↓1+20
Comments22

Yii 2.0.14

Reading time9 min
Views19K

Команда Yii рада представить новую версию PHP фреймворка: Yii 2.0.14. В неё вошло более сотни улучшений и исправлений, включая исправления безопасности.


В релиз вошли несколько изменений, которые могут повлиять на уже работающие приложения. Эти изменения описаны в UPGRADE.md.


Спасибо сообществу Yii за помощь в выпуске этого обновления!


За процессом разработки можно следить, поставив звёздочку на GitHub. У нас есть много сообществ Yii, где вы можете попросить помощи или поделится своим опытом — мы и тысячи других пользователей Yii будем рады вашему участию.


Этот релиз знаменателен тем, что становится последним релизом в версии Yii 2.0, содержащим улучшения. Это значит, что мы сконцентрируем силы на разработке версии 2.1.x, в которую войдёт много новых улучшений, которые невозможно включить в ветку 2.0.х из-за ограничений по сохранению обратной совместимости. Несмотря на это, ветка 2.0.х будет получать исправления и улучшения безопасности. Сроки окончания поддержки 2.0.х будут объявлены вместе с релизом версии 2.1.


Убедитесь что версия фреймворка в composer.json прописана верно (~2.0.14) и вы не обновитесь на 2.1 случайно, когда он релизнется.


Ниже мы рассмотрим самые интересные улучшения и исправления релиза. Полный список можно, как обычно, найти в CHANGELOG.

Читать дальше →
Total votes 41: ↑40 and ↓1+39
Comments59

Уязвимости выполнения произвольного кода в PHPMailer и SwiftMailer

Reading time3 min
Views24K

В последние дни было зарегистрировано три уязвимости, касающиеся PHPMailer и SwiftMailer:



Все три отчёта об уязвимостях упоминают фреймворк Yii наряду с другими PHP фреймворками как уязвимый, потому цель этой статьи — прояснить, кто именно подвержен этой уязвимости и что нужно сделать для того, чтобы обезопасить себя.

Читать дальше →
Total votes 31: ↑31 and ↓0+31
Comments11

WebMoney.ru не работает

Reading time6 min
Views34K


Сегодня, ориентировочно в 9:00 UTC было замечено прекращение резолва домена webmoney.ru. В реестре домен активен, NS'ы есть, на них домен резолвится, но уже начиная с корневых серверов .ru — домен не работает.

Как можно попасть на WebMoney:
  • webmoney на украинском домене webmoney.ua
  • по IP адресам: 77.246.100.42, 94.75.214.18, 88.198.43.118, 89.108.126.29, 217.23.144.177
  • xandr0s: для работы Keeper добавить в hosts
    добавить в hosts
    212.158.173.184 agent.webmoney.ru
    91.200.28.184 agent.webmoney.ru
    91.227.52.184 agent.webmoney.ru
    212.118.48.184 agent.webmoney.ru
    91.200.28.203 antivirus.webmoney.ru
    212.118.48.9 banking.webmoney.ru
    212.158.173.9 banking.webmoney.ru
    91.227.52.9 banking.webmoney.ru
    212.118.48.19 cert.webmoney.ru
    212.158.173.19 cert.webmoney.ru
    212.118.48.224 certsrv.webmoney.ru
    212.118.48.176 chat.webmoney.ru
    91.227.52.45 check.webmoney.ru
    91.200.28.45 check.webmoney.ru
    212.118.48.116 cs.webmoney.ru
    195.161.113.190 domains.webmoney.ru
    217.23.144.179 download.webmoney.ru
    77.246.100.44 download.webmoney.ru
    88.198.43.118 download.webmoney.ru
    89.108.126.82 download.webmoney.ru
    94.75.214.64 download.webmoney.ru
    212.118.48.203 education.webmoney.ru
    91.200.28.14 events.webmoney.ru
    91.227.52.14 events.webmoney.ru
    212.118.48.14 events.webmoney.ru
    212.158.173.14 events.webmoney.ru
    212.118.48.171 files.webmoney.ru
    212.118.48.142 forum.webmoney.ru
    91.200.28.123 m.webmoney.ru
    91.227.52.123 m.webmoney.ru
    212.118.48.26 mail.webmoney.ru
    91.200.28.123 mobile.webmoney.ru
    91.227.52.123 mobile.webmoney.ru
    91.200.28.194 my.webmoney.ru
    91.227.52.194 my.webmoney.ru
    212.118.48.194 my.webmoney.ru
    212.158.173.194 my.webmoney.ru
    91.227.52.254 pics.webmoney.ru
    212.118.48.163 ps.webmoney.ru
    91.232.115.32 reports.webmoney.ru
    91.200.28.36 search.webmoney.ru
    212.118.48.181 security.webmoney.ru
    212.158.173.181 security.webmoney.ru
    91.227.52.181 security.webmoney.ru
    91.227.52.111 sms.webmoney.ru
    212.118.48.26 smtp.webmoney.ru
    212.118.48.150 start.webmoney.ru
    212.158.173.150 start.webmoney.ru
    91.227.52.22 start.webmoney.ru
    91.200.28.50 stats.webmoney.ru
    91.227.52.50 stats.webmoney.ru
    91.227.52.14 support.webmoney.ru
    91.200.28.14 support.webmoney.ru
    91.200.28.12 video.webmoney.ru
    91.227.52.12 video.webmoney.ru
    212.118.48.42 wap.webmoney.ru
    91.227.52.227 wiki.webmoney.ru
    94.75.214.18 www.webmoney.ru
    217.23.144.177 www.webmoney.ru
    77.246.100.42 www.webmoney.ru
    88.198.43.118 www.webmoney.ru
    89.108.126.29 www.webmoney.ru
    89.108.126.29 www-2.webmoney.ru
    212.118.48.185 wmsc1.webmoney.ru
    212.118.48.6 wmsc1.webmoney.ru
    212.118.48.177 wmsc1.webmoney.ru
    212.118.48.179 wmsc1.webmoney.ru
    212.118.48.134 wmsc1.webmoney.ru
    212.118.48.178 wmsc1.webmoney.ru
    212.118.48.5 wmsc1.webmoney.ru
    212.118.48.7 wmsc1.webmoney.ru
    212.118.48.131 wmsc1.webmoney.ru
    212.118.48.138 wmsc1.webmoney.ru
    212.118.48.132 wmsc1.webmoney.ru
    212.118.48.176 wmsc1.webmoney.ru
    212.118.48.135 wmsc1.webmoney.ru
    212.118.48.180 wmsc1.webmoney.ru
    212.118.48.133 wmsc1.webmoney.ru
    212.118.48.129 wmsc1.webmoney.ru
    212.118.48.139 wmsc1.webmoney.ru
    212.118.48.187 wmsc1.webmoney.ru
    212.118.48.136 wmsc1.webmoney.ru
    212.118.48.186 wmsc1.webmoney.ru
    212.158.173.139 wmsc2.webmoney.ru
    212.158.173.136 wmsc2.webmoney.ru
    212.158.173.179 wmsc2.webmoney.ru
    212.158.173.5 wmsc2.webmoney.ru
    212.158.173.6 wmsc2.webmoney.ru
    212.158.173.129 wmsc2.webmoney.ru
    212.158.173.180 wmsc2.webmoney.ru
    212.158.173.135 wmsc2.webmoney.ru
    212.158.173.138 wmsc2.webmoney.ru
    212.158.173.131 wmsc2.webmoney.ru
    212.158.173.134 wmsc2.webmoney.ru
    212.158.173.133 wmsc2.webmoney.ru
    212.158.173.132 wmsc2.webmoney.ru
    212.158.173.7 wmsc2.webmoney.ru
    212.158.173.185 wmsc2.webmoney.ru
    212.158.173.178 wmsc2.webmoney.ru
    212.158.173.176 wmsc2.webmoney.ru
    212.158.173.177 wmsc2.webmoney.ru
    91.227.52.145 wmsc3.webmoney.ru
    91.227.52.146 wmsc3.webmoney.ru
    91.227.52.133 wmsc3.webmoney.ru
    91.227.52.140 wmsc3.webmoney.ru
    91.227.52.129 wmsc3.webmoney.ru
    91.227.52.138 wmsc3.webmoney.ru
    91.227.52.141 wmsc3.webmoney.ru
    91.227.52.135 wmsc3.webmoney.ru
    91.227.52.136 wmsc3.webmoney.ru
    91.227.52.132 wmsc3.webmoney.ru
    91.227.52.139 wmsc3.webmoney.ru
    91.227.52.134 wmsc3.webmoney.ru
    91.227.52.142 wmsc3.webmoney.ru
    91.227.52.143 wmsc3.webmoney.ru
    91.227.52.144 wmsc3.webmoney.ru
    91.227.52.131 wmsc3.webmoney.ru
    91.200.28.142 wmsc4.webmoney.ru
    91.200.28.146 wmsc4.webmoney.ru
    91.200.28.135 wmsc4.webmoney.ru
    91.227.52.148 wmsc4.webmoney.ru
    91.200.28.139 wmsc4.webmoney.ru
    91.200.28.129 wmsc4.webmoney.ru
    91.200.28.148 wmsc4.webmoney.ru
    91.200.28.132 wmsc4.webmoney.ru
    91.200.28.143 wmsc4.webmoney.ru
    91.200.28.134 wmsc4.webmoney.ru
    91.200.28.130 wmsc4.webmoney.ru
    91.200.28.141 wmsc4.webmoney.ru
    91.200.28.144 wmsc4.webmoney.ru
    91.200.28.147 wmsc4.webmoney.ru
    91.200.28.131 wmsc4.webmoney.ru
    91.200.28.136 wmsc4.webmoney.ru
    91.200.28.140 wmsc4.webmoney.ru
    91.200.28.138 wmsc4.webmoney.ru
    91.227.52.147 wmsc4.webmoney.ru
    91.200.28.133 wmsc4.webmoney.ru
    91.200.28.145 wmsc4.webmoney.ru
    216.137.61.158 dl.webmoney.ru
    91.227.52.24 keeper3.webmoney.ru
    212.118.48.151 keeper3.webmoney.ru
    91.227.52.24 keeper.webmoney.ru
    212.118.48.151 keeper.webmoney.ru


Как выяснилось в 9:45 GMT, в пресс-службе WebMoney сообщили о проблемах на стороне компании-регистратора доменного имени сайта — Ru-Center
По состоянию на 10:45 GMT работоспособность домена webmoney.ru была возобновлена, изменения расползаются по DNS серверам.
Читать дальше →
Total votes 64: ↑44 and ↓20+24
Comments38

Mari0

Reading time1 min
Views2K


Две игры из совершенно разных эпох: Super Mario Bros. от Nintendo и Portal от Valve вместе!
Теперь у Марио в руках есть портальный пистолет и в игре уже появляются элементы головоломки. Хотите больше эпичности? Подключайте к компу геймпады и играйте вместе с друзьями — у каждого будет свой Portal gun!

От себя скажу, что идея очень классная. Надеюсь, игра всё-таки будет доделана и выпущена в паблик.



Via
Total votes 144: ↑133 and ↓11+122
Comments40

Обзор зарядного устройства TechnoLine BC-700, или мой опыт восстановления Ni-MH аккумуляторов

Reading time6 min
Views314K
Опыт восстановления Ni-MH аккумуляторов, или обзор зарядного устройства Techno Line BC700

Так случилось, что после двух лет активного увлечения фотографией я немного подзабил на всё это дело. И, вот, спустя год, недельки 3 назад, меня «пробило» на фото. Достал фотоаппарат, аккумуляторы, побежал на радостях фотографировать. Сделал 2 фотки, получил сообщение: «Замените аккумуляторы». «С кем не бывает, захватил случайно разряженный комплект», подумал я. Поставил другой комплект — одна-две фотки и фотоаппарат просит новые батарейки. Так со всеми моими четырьмя парами аккумуляторов. Не въехав в ситуацию, пошел, воткнул их в зарядку, пока читал на ночь хабр, заметил, что от момента установки на зарядку не прошло и пяти минут, а светодиод зарядного устройства уже оповещает о полной зарядке. С этого момента и началась история. Добро пожаловать под кат!
Читать дальше →
Total votes 133: ↑125 and ↓8+117
Comments188

10 способов улучшить свои навыки программирования

Reading time4 min
Views88K

1. Выучить новый язык программирования


Изучение нового языка программирования разовьет новые способы мышления, особенно если новый язык программирования использует парадигмы, с которыми Вы еще не знакомы. Многие из приобретенных способов мышления могут быть применены к языкам, которые уже знаете. Возможно, вы даже полюбите новый для Вас язык программирования настолько, что начнёте использовать его для серьёзных проектов.

Среди языков программирования отличный познавательный эффект и наверстывание опыта дают: Lisp (или Scheme), Форт, PostScript или Factor (стековые языки программирования), Haskell (строго типизированный, чистый функциональный язык) либо OCaml (объектно-ориентированный язык функционального программирования), Пролог (логическое программирование), Erlang (отличные паралельные вычисления).

Читать дальше →
Total votes 239: ↑227 and ↓12+215
Comments96

IBM разрабатывает «мгновенную» память, в 100 раз быстрее флэш

Reading time1 min
Views1.1K


Надо отдать должное инженерам IBM. Они сумели перейти к работе после празднования 100-летнего юбилея корпорации, и объявить о новом изобретении. На этот раз это новый вид памяти на основе фазового перехода (PCM). Скорость чтения и записи в 100 раз быстрее, чем у флэш-памяти, выдерживает несколько миллионов циклов записи (у flash в среднем – 100 тысяч), да и цена прогнозируется достаточно низкая, что даст возможность использовать технологию в большом диапазоне устройств: от серверов с высокой нагрузкой, до мобильных телефонов.
Читать дальше →
Total votes 76: ↑73 and ↓3+70
Comments76

3DMark Vantage: новый суммарный рекорд

Reading time1 min
Views2.1K
image

Известный оверклокер duck установил новый мировой рекорд в 3DMark Vantage. Рекорд был побит на мероприятии, которое, по-видимому, проводилось компанией Galaxy. Японцу наконец-то удалось преодолеть заветную отметку в 75000 очков, которую два месяца назад едва не покорил оверклокер k|ngp|n, и набрать 75324 «попугая». Для достижения такого впечатляющего результата duck использовал четыре видеокарты Galaxy GeForce GTX 580, объединённые в 4-Way SLI и разогнанные до 1170/4500 МГц (ядро/память).
Читать дальше →
Total votes 23: ↑14 and ↓9+5
Comments12

Вредоносные программы — 2010: годовой отчёт

Reading time7 min
Views2.4K
imageМинувший 2010 год можно назвать годом расцвета интернет-мошенничества. Злоумышленниками придумано и воплощено десятки схем получения нелегального дохода, а само вредоносное ПО попало на сотни миллионов компьютеров.

Итак, рейтинг мошеннических инструментов — 2010.
Внимание, трафик!
Читать дальше →
Total votes 66: ↑60 and ↓6+54
Comments68

Сенсорная мышь Touch Mouse от Microsoft

Reading time2 min
Views30K
image


Корпорация Microsoft на CES 2011 продемонстрировала свою новую разработку — компьютерную мышь Touch Mouse, но теперь мы увидели некоторые изменения по сравнению с предыдущим анонсом этого девайса. «Свежий» вариант устройства стал почти полностью сенсорным и лишился даже колёсика для скроллинга — его тоже заменит сенсор. Скроллить можно будет соответствующими движениями по всей поверхности мышки. Механическими остались лишь правая и левая кнопки мыши.

Картинки кликабельны.
Читать дальше →
Total votes 88: ↑68 and ↓20+48
Comments221

Лабораторный источник постоянного напряжения из блока питания

Reading time4 min
Views433K
image

Несколько недель назад мне для некого опыта потребовался источник постоянного напряжения 7V и силой тока в 5A. Тут-же отправился на поиски нужного БП в подсобку, но такого там не нашлось. Спустя пару минут я вспомнил о том, что под руки в подсобке попадался блок питания компьютера, а ведь это идеальный вариант! Пораскинув мозгами собрал в кучу идеи и уже через 10 минут процесс начался.
Читать дальше →
Total votes 122: ↑116 and ↓6+110
Comments143

Information

Rating
Does not participate
Location
Киев, Киевская обл., Украина
Registered
Activity