Pull to refresh
14
Karma
0
Rating
Mozzart @WFF

Пользователь

Простая аутентификация на PHP

Вы мне зачем-то навязываете спор о точке, где мы сделаем все безопасным. Я же вам говорю, что практика хранить в базе вредоносный код означает, что у вас появляется далеко не нулевая вероятность, что:
1. он будет выполнен;
2. вы об этом узнаете слишком поздно.

Простая аутентификация на PHP

Это просто классическая без изысков XSS уязвимость

Простая аутентификация на PHP

Я считаю, что нельзя хранить в базе уязвимости. Поэтому перед вставкой в базу.

Простая аутентификация на PHP

Это мы с вами сейчас помним, что имя пользователя надо экранировать. Но для нового разработчика это не очевидно. Т.е., вообще говоря, проблема возникнет практически гарантированно.

Простая аутентификация на PHP

Если выбирать между этими двумя, я бы использовал strip_tags. Так как результат htmlspecialchars можно случайно скопировать и вставить куда-то, где нет экранирования.

Простая аутентификация на PHP

Да, перебор, там все экранируется

Простая аутентификация на PHP

Простите, но ваш код в таком виде опасен. Его нельзя публиковать в таком виде. Добавьте хотя-бы strip_tags к имени пользователя. В противном случае можно получить проблемы, просто выполняя SQL запрос в phpMyAdmin.

Простая аутентификация на PHP

Смотрите, скорее всего где-то внутри вашей системы (предположительно) есть админка, куда имеют доступ только администраторы. Предположительно, там есть модуль для просмотра зарегистрированных пользователей. Таким образом я могу украсть сессионные коды администратора просто потому, что администратор решил посмотреть список зарегистрированных пользователей.

Простая аутентификация на PHP

Ок.

  1. У вас в качестве имени пользователя может быть кусок javascript-а. Это уже "дыра в безопасности".

Простая аутентификация на PHP

  1. Backend дает возможность зарегистрироваться с пустым именем и паролем (да, я видел required, это ничего не значит).

  2. Наверное, имеет смысл при хранении приводить имя пользователя к одному регистру.

Электромеханический 7-сегментный дисплей своими руками

Бегущая строка наверное бы круто смотрелась

Зарубежные облачные и сетевые сервисы, службы и платформы, которые могут быть заблокированы в РФ [update 11.03]

Австрийский хостер world4you.com без предварительного уведомления прекратил работу с .ru и .by. сайтами, обнулил все договора с русскими контактами (!) и площадками с трафиком в Россию и Белоруссию.

Arduino + encoder — обработка высоких оборотов

Допустим, что микроконтроллер не в состоянии переварить падающую на него частоту. Ну поставьте на вход десятичный счетчик-делитель, он 50 рублей стоит...

За рулём и под капотом первого серийного электрического пикапа Rivian R1T

Rivian с января начнет продажи внедорожника Rivian R1S SUV (в статье он назван "с закрытой кабиной"). На мой взгляд, очень круто выглядит.

Как хакнуть систему фитнеса, которая не менялась в течение 50 лет

Делюсь впечатлениями, сходили сегодня, потренировались.

Если кратко: понравилось, это другой подход к тренировке. 

У меня примерно 8 лет опыта в тренажерке, раньше тренировался с тренерами, сейчас- самостоятельно.

  1. Все настраивается индивидуально- размеры, положение, крайние точки. Усилие вы создаете сами.

  2. Про безопасность. Создатели уделили много внимания безопасности: есть датчики, есть красные кнопки, если прерыватели. Плюс с вами все время тренер (оператор) с пультом в руках.

  3. Тренер выставляет правильные углы в соответствии с вашей комплекцией. Например, при жиме ногами, ваша стопа всегда перпендикулярна щиколотке- за это отвечают сервоприводы.

  4. Про получасовую тренировку. Да, полчаса достаточно, если вы работаете, за полчаса умотаетесь по-полной.

  5. Очень сложно передать ощущения от работы с системой. Но правила игры понимаешь довольно быстро.

  6. Работать приходится как-бы против себя. Насколько я понимаю, оператору даже не нужно выставлять веса (сопротивление) платформы. Сколько вы на нее надавите и есть ваш вес. 

  7. Так как инерция отсутствует полностью, приходится работать на максимуме. 

  8. Могу сказать, что в зале, например, если я жму 250 килограмм, я все время боюсь, что меня “раздавит”, т.е. я могу не выдержать, что-то пойдет не так, страх присутствует- я все время держу руки на страховочных рукоятках (ну или нужен тренер на подстраховке). Здесь такого нет, можно давить на всю силу и как только ты прекращаешь или уменьшаешь давление, системе перестает “давить” в ответ. В результате я выжал что-то под 300 и это было спокойнее, чем в зале.

  9. Мое ограничение в 250 килограмм в зале это ограничение на моем самом слабом участке движения (скажем, в самой нижней точке). Т.е. я на самом сильном своем участке могу выжать больше, но самый слабый мой диапазон не дает этого сделать. Здесь вы тренируетесь сразу во всех диапазонах и всегда по-максимуму. 

  10. Очень прикольно работает негатив. Такого в зале точно не получить. Когда привыкаешь, я бы даже сказал, усилия не хватает- прям хочется сопротивляться системе и ждешь, что она тебя “продавит”. Но всегда есть понимание, что ты определяешь нагрузку.

  11. Один подход длится где-то до полутора минут. Возьмем например, жим ногами. В конце второго кача у меня “подожглась” квадра. Да, на втором каче, я достиг точки, к которой на тренировке в зале надо было идти минут 10. К концу десятого у меня начался тремор мышц и я практически сдался. За один подход, черт побери!

  12. Отдельное спасибо тренеру Диме, подбадривал как мог!

  13. В принципе можно создать свою программу. Хочу попробовать попозже сделать другую кривую скорости или сопротивления для ног, что должно позволить лучше прыгать.

  14. Нужно другое дыхание- так как нагрузка постоянная, не получается выдыхать на усилии, тут ты все время на усилии.

Резюмируя- очень интересный проект с несомненным новаторским подходом. Если интересно- дайте знать, могу написать про вторую тренировку. Довольно сложно все это формулировать, это чистая кинестетика, приходится все время как бы опрашивать тело.

И снова про безопасность банков и СМС

Ввод пароля в приложении при генерации одноразового ключа можно перехватить например.

И снова про безопасность банков и СМС

Если у Вас есть идеи как еще можно обезопасить свои счета - то пишите об этом в комментариях.

Пластиковая карта с дисплеем и клавиатурой для генерации одноразовых ключей. Даже если вы ее упустили вместе с телефоном, генерация ключей выполняется только через пароль, который надо ввести на карте.

У меня примерно такая
У меня примерно такая

Одна задача с собеса

Как хакнуть систему фитнеса, которая не менялась в течение 50 лет

Ого, сколько негатива вам тут накидали. При том, что идея хорошая и есть уже работающий зал. Я к вам обязательно доберусь и на себе проверю, как это по ощущениям.

Вдруг вы не догадывались )) вот вам еще одна область, где ваша система скорее всего будет очень хороша: реабилитация после травм. Одна из проблем в том, что после травмы у человека появляются "мертвые" диапазоны. Это некие положения тела или органа, в которых человек избегает прилагать усилия. Как правило, такие зоны проходятся а) на инерции б) за счет подключения других мышц в) за счет смены позы. Соответственно, есть приборы для выявления таких положений (как правило, это изометрия + тензодатчики). Т.е. сначала выявляешь, потому пытаешься как-то по памяти это проработать.

У вас же есть три преимущества:

  1. Так как датчики у вас уже есть, такие зоны сразу будут видны;

  2. Так как у человека перед глазами дисплей, он может концентрированно и управляемо работать над этими зонами;

  3. Зоны будут активно прорабатываться, так как на инерции работать уже не получится.

Квантовая мультивселенная

Я правильно понимаю, что в этом случае вопрос возникновения подобного мира остается открытым, так как случайности больше нет?

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity