Ivan Novikov d0znpp

Не игнорирую — проверяю. Хром у меня точно ничего не ставит на поддомены.

Это опасно, так как дает возможность атаковать основной домен с поддоменов. Это не опасно, когда на поддоменах нет уязвимостей.

Все не по RFC реализовано )
chrome 180 (после отправки первого запроса без кук их станет уже 150)
safari ~2800/LEN(cookie_name+cookie_val)
opera 60
firefox 149
iexplore 49

Вот, кстати. Как Вы думаете, сколько кук для одного домена можно проставить, и что будет, когда это число закончится?

Правильно. По хрому скриншот переделал. Спасибо!

Да, в этом WARNING по-сути все то, что в этом топике сжато написано.
Если вопрос в том, что указывать в домене — то ответ простой:
«domain.com», без ведущей точки впереди.

должен быть текущий домен. да, RFC. но браузеры, они такие браузеры… В RFC прямо описание этой ошибки, вы правы: «WARNING: Some existing user agents treat an absent Domain
attribute as if the Domain attribute were present and contained
the current host name. For example, if example.com returns a Set-
Cookie header without a Domain attribute, these user agents will
erroneously send the cookie to www.example.com as well»

Обязательное использование $domain аргумента функции setcooke() php.net/manual/ru/function.setcookie.php

«Однако многие пользователи при регистрации учетной записи на eBay, в электронных адресах, в соцсетях, на форумах — используются одни и те же имена» — то есть как бы это не проблема eBay.

Буквально на дня нашел интересную ошибку в логике реализации работы с ИОК. Скомпрометировали ftp с CRL'ем. Положили в отозванные свой сертификат с датой отзыва в будущем, и все — наш сертификат, выданный абы-кем стал валидным, хотя если его в СОС не было — не работал.

СКЗИ должно обеспечивать библиотеками для работы с OCSP/TSP и все прочие ИОК вызовы делать на своей стороне. Если давать разработчикам низкоуровневые функции, ничего не выйдет кроме багов. Встречал случаи, где даже корневые не проверялись нормально. PKI он такой PKI…

Ага, тоже так делал, пока не устал эти регулярки писать. Очень много получается веб-приложений и все такие разные, что пришлось изобретать какую-то утилиту под свои нужды. В целом, посмотрите на TXL (http://www.txl.ca/ www.txl.ca/examples/Grammars/PHP/README.txt)

Вот dookie отвечал, что при пентесте авторизацию находил на его основе )
Чаще всего, это действительно поиск.
Из моей практики, в корпоративном приложении из $_SESSION['email'] вырезался домен и выводились пользователи, которые с авторизованным пользователем в одной домене.
Таким образом, email вида vasya@%%%%%%% давал нам возможность вывести весь список пользователей системы, а не только разрешенных — своего домена.

у нас своя разработка статического анализатора. Статический анализ привязан скорее уже не к конструкциям, а к структуре кода, скорее всего вы про это и говорили. Поэтому такие вещи как RIPS не справляются с ООП. Но если знать, что хочется найти, то, скажем, выполнить задачу «поиск всех функций где аргумент попадает в SQL запрос без фильтрации» выполнить можно быстро и качественно.

Не составлял, сложно и муторно. Есть средства статического анализа кода, они позволяют выполнять эту работу более комплексно и не привязаны к конкретным конструкциями.

Ничего криминального, согласен. Безопасность — это не всегда страшные уязвимости, которые позволяют взломать Яндекс. Иногда это просто нарушение какой-то модели.

В случаях, которые вы описали, таких как поиск по сайту ничего страшного, кроме увеличения нагрузки, действительно нет. Но зачем давать возможность выгрузки всего проиндексированного содержимого, если логика поискового запроса подразумевает поиск по каким-то критериям, а не по их отсутствию.
По всем призанакам — это уязвимость обхода логики.

Нет, при проверке не используют. Зато после регистрации открывается множество функционала, где LIKE может присутствовать от какого-нибудь $_SESSION['username']

А теперь все полезут регаться на сайтиках с логином %%%%%%% ;)

placeholder — это очень правильно.

тогда как в примере, только в обрамлении кавычками

да, еще бы все так писали…

нет, зачем для числа вызывать дорогую функцию mysql_real_escape_string, если приведение типов дешевле?