Смысл статьи в том, чтобы дважды разместить ссылку на телеграм ? А то в статье описываются и обсасываются очевидные вещи, или как говорила моя бабушка "ты рассказываешь то, что известно всем".
Многие уязвимости, описанные в статье, возникли из-за старого софта. Раньше, чтобы писать безопасный код, разработчик должен был знать уязвимости. Сейчас эту ношу с разработчика сняли, достаточно использовать правильный софт и проверять входные данные:
htmlspecialchars перед выводом убивает XSS,
Параметризованные запросы убивают SQL-injection.
токенизация форм убивает CSRF
PHP-injection вроде устарел, сейчас не принято подключать файл с названием, полученным извне.
Из за развития API сервисов более популярны обратные XSS, когда мы не внедряем код, а получаем приватные данные. Когда какой то эндпоинт возвращает в json приватные данные авторизованному пользователю, то при подключении этой страницы через <script src> на нашем сайте, мы можем получить ту же приватную информацию, которую получает авторизованный пользователь, зашедший на наш сайт. Уязвимости чаще подвержены крупные порталы.
Чтобы сейчас написать уязвимый код, нужно постараться.
- Edited исчезает, если написать сообщение в Избранное и переслать нужному адресату, а по самому сообщению не видно, что оно переслано. - Редактирование ссылки не работает на декстоп версии ТГ, плашка обновляется после редактирования ссылки
Лень было постоянно лазить в hh. Хотел просто получить список вакансий, и пошло-поехало. - Написал на PHP получение вакансий по фильтру и сохранение их в БД, с возможностью смены статуса на неактуальные, с просмотром только актуальных вакансий. - добавил в процесс фильтр, чтобы неподходящие вакансии сразу помещались в неактуальные. - добавил получение своего резюме с hh по запросу и отправка вакансии в чат Qwen для последующего использования.
- добавил связь с Qwen с установленными настройками. что он сравнивает мое резюме и вакансию, и если в вакансии строго требуется опыт. которого нет в резюме, помечать вакансию как неактуальную.
Как дойдут руки, хочу добавить условие, если вакансия подходящая, то Qwen напишет сопроводительное письмо, которое учитывает соответствие опыта в резюме и требуемого опыта в вакансии. И откликнется на вакансию этим письмом. И повесить все это на крон, хай пасется. Делал для себя, поэтому не особо заморачивался качеством и безопасностью кода, главное, чтобы работало.
В интернете активен с 2006 года, за все это время лишь 3 раза сталкивался упоминанием ДП.
когда ФСБ ликвидировал какой-то популярный в 2010 году хостинг файлов (название не помню), в новостях было, что на их серверах обнаружено ДП.
когда создавали РКН, в ответ на протесты, защитники РКН из всех щелей трубили, что это не политический банхаммер неугодных в интернете, а ведомство для защиты детей в интернете и блокировки сайтов с ДП
Сейчас, в вашем сообщении в этой теме
В ТГ у меня рабочие контакты, в WhatsApp общение с друзьями и с семьей. Я там даже обычное порно никогда не видел
. Сейчас ради теста вбил в поиск ТГ слово "порно" и нашел кучу политических и личных каналов с названиями вроде "18+, порно ", и ни одного канала с видео порнухой. Не помог даже запрос "порно видео".
Как показывает история, когда в политике говорят про защиту детей, ДП и тому подобные блага для простого народа, то это 100% популизм или демагогия. Думающим иначе, советую прочитать роман "Охота на мух", автор Лев Златкин. Единственные политики, думающие о народе, это Юрий Пронин и Виктор Мамонов.
В 2010 году нашел слепую sql-injection на каком то из поддоменов Mail, выудил админские хеши и ящики, написал про это в саппорт, далее самонадеянно написал об этом статью на antichat И потом больше года отмывался от репутации нуба, который нашел обычную sql-уязвимость, выудил хеши паролей и думает, что это взлом (спасибо, blacksun). А в 2025 году взломом называется перебор ОТКРЫТЫХ числовых купонов.
Несколько часов назад откликнулся на вакансию со 100% соответствием моему опыту. И получил отказ. Не удержался, поискал контакт HR и написал ей в телеграм, подробно расписав по пунктам вакансии, что я идеально подхожу под вакансию и спросил про причину отказа.
И получил такой ответ:
И при этом, что интересно, IT образование было убрано из резюме по совету другого HR, который пояснил, что это перегружает резюме.
Или HR не смогла сказать, что отказала по желанию левого пальца правой ноги, или у HR действительно есть скрытые требования, которые не расписываются в резюме.
У ATSки эйчара есть доступ к резюме, которыми я не откликался? Вряд ли работодатель может зайти на профиль соискателя и увидеть список его резюме. Скорее всего, тут немного другие подводные камни. Например, 6 возможных причин: https://chat.qwen.ai/s/329876ba-0f6d-4d53-87a1-5f33db0161e3?fev=0.0.222
За последние недели я провел больше двух десятков диагностик с IT-специалистами. Картина почти всегда одна: передо мной сидит крутой инженер с восьмилетним опытом, а его главная боль – «нет откликов» и «не могу продать свой опыт». Как бывший рекрутер, я вижу причину за десять секунд. И она не в коде. Она в голове.
Связался с автором этой статьи. Созвонились, но к сожалению, весь за весь созвон я получил только общую информацию, вроде "резюме плохое, нужно исправлять. Я исправлю, и тебя забросают приглашениями." И ничего нового, никакой конкретики. Даже рыбак дает рыбам червячка на покушать.
После созвона, автор предложил предварительную оплату курса "Путь к офферу мечты" (20 т.р.), который начнется..., через месяц.
Показалось это сомнительным, и предложил ему официальный договор, с оплатой по факту трудоустройства, в 20% от первой зарплаты, что больше стоимости его курса. Автор, закономерно, отказался.
Интегрировал RabbitMQ для асинхронной обработки задач, что позволило обрабатывать пиковые нагрузки без падения сервиса и улучшило пользовательский опыт
Была такая функция в легаси, которая брала из БД огромное количество записей, и через цикл отправляла HTTP запрос по каждой записи . Скрипт падал, ежик кололся. но продолжал... Переписал: из БД берется чанк, выполняется и помечается в БД как выполненный. Выполнение в Rabbit. Попросил у жпт описать этот опыт в резюме, то жпт выдал этот текст, слово в слово.
ps. из реальной практики.
1-е резюме, написанное самостоятельно и криво: 40 откликов = 3-4 приглашения и столько же отказов.
2-е резюме, грамотно написанное жпт: 40 откликов = 1-2 приглашения и очень много отказов.
3-ье резюме, написанное самостоятельно, после опыта с грамотным, но мертвым резюме от жпт: 40 откликов = 6 приглашений и 6 отказов.
Без обид, мне кажется, что алгоритм и вправду лёгкий для новичка. Но я буду рад узнать новое, если вы скажите, в чем трудность этого алгоритма. И кста, спасибо за статью.
ps. Надеюсь, вы не ответите в стиле "мопед не мой, ..." :)
Интересно почитать, но не осилил - слишком много букв для простого объяснения. Я не запоминаю эти алгоритмы, благо, подумав логически, их можно изобрести заново.
В функциях недостаточная проверка данных. findLeftBoundry и binarySearchHalfOpenInterval вернут Undefined offset, если target больше, чем количество элементов в массиве. Плохо left === arr.length, хорошо left >= arr.length
Я имел ввиду, что текст пропущен через ИИ (потому что в тексте обороты, характерные для ИИ), а именно: что в статье, осуждающей использование ИИ для статей, использован ИИ. Про 100% генерацию речи не было. :)
у вас ссылка http://kimi.com/ и она не работает, правильная ссылка через ssl и www, - https://www.kimi.com/
Смысл статьи в том, чтобы дважды разместить ссылку на телеграм ?
А то в статье описываются и обсасываются очевидные вещи, или как говорила моя бабушка "ты рассказываешь то, что известно всем".
Доверять ИИ, когда себе то не особо доверяешь?
Особенно, когда неудачный клик может стать причиной для уголовного дела.
Многие уязвимости, описанные в статье, возникли из-за старого софта. Раньше, чтобы писать безопасный код, разработчик должен был знать уязвимости. Сейчас эту ношу с разработчика сняли, достаточно использовать правильный софт и проверять входные данные:
htmlspecialchars перед выводом убивает XSS,
Параметризованные запросы убивают SQL-injection.
токенизация форм убивает CSRF
PHP-injection вроде устарел, сейчас не принято подключать файл с названием, полученным извне.
Из за развития API сервисов более популярны обратные XSS, когда мы не внедряем код, а получаем приватные данные. Когда какой то эндпоинт возвращает в json приватные данные авторизованному пользователю, то при подключении этой страницы через <script src> на нашем сайте, мы можем получить ту же приватную информацию, которую получает авторизованный пользователь, зашедший на наш сайт.
Уязвимости чаще подвержены крупные порталы.
Чтобы сейчас написать уязвимый код, нужно постараться.
Этот огромный текст можно было бы сократить до одного предложения:
- - Регистрируйтесь на bothub, у нас есть доступ к ГПТ с блэкджеком и ...!
- Edited исчезает, если написать сообщение в Избранное и переслать нужному адресату, а по самому сообщению не видно, что оно переслано.
- Редактирование ссылки не работает на декстоп версии ТГ, плашка обновляется после редактирования ссылки
Лень было постоянно лазить в hh. Хотел просто получить список вакансий, и пошло-поехало.
- Написал на PHP получение вакансий по фильтру и сохранение их в БД, с возможностью смены статуса на неактуальные, с просмотром только актуальных вакансий.
- добавил в процесс фильтр, чтобы неподходящие вакансии сразу помещались в неактуальные.
- добавил получение своего резюме с hh по запросу и отправка вакансии в чат Qwen для последующего использования.
- добавил связь с Qwen с установленными настройками. что он сравнивает мое резюме и вакансию, и если в вакансии строго требуется опыт. которого нет в резюме, помечать вакансию как неактуальную.
Как дойдут руки, хочу добавить условие, если вакансия подходящая, то Qwen напишет сопроводительное письмо, которое учитывает соответствие опыта в резюме и требуемого опыта в вакансии. И откликнется на вакансию этим письмом.
И повесить все это на крон, хай пасется.
Делал для себя, поэтому не особо заморачивался качеством и безопасностью кода, главное, чтобы работало.
А где лежат или должны лежать контроллеры?
Только в примере attributes-usage.php нашел класс контроллера в самом файле.
Сохраню поизучать.
В интернете активен с 2006 года, за все это время лишь 3 раза сталкивался упоминанием ДП.
когда ФСБ ликвидировал какой-то популярный в 2010 году хостинг файлов (название не помню), в новостях было, что на их серверах обнаружено ДП.
когда создавали РКН, в ответ на протесты, защитники РКН из всех щелей трубили, что это не политический банхаммер неугодных в интернете, а ведомство для защиты детей в интернете и блокировки сайтов с ДП
Сейчас, в вашем сообщении в этой теме
В ТГ у меня рабочие контакты, в WhatsApp общение с друзьями и с семьей. Я там даже обычное порно никогда не видел
.
Сейчас ради теста вбил в поиск ТГ слово "порно" и нашел кучу политических и личных каналов с названиями вроде "18+, порно ", и ни одного канала с видео порнухой. Не помог даже запрос "порно видео".
Как показывает история, когда в политике говорят про защиту детей, ДП и тому подобные блага для простого народа, то это 100% популизм или демагогия. Думающим иначе, советую прочитать роман "Охота на мух", автор Лев Златкин.
Единственные политики, думающие о народе, это Юрий Пронин и Виктор Мамонов.
ps. Надеюсь...
В 2010 году нашел слепую sql-injection на каком то из поддоменов Mail, выудил админские хеши и ящики, написал про это в саппорт, далее самонадеянно написал об этом статью на antichat
И потом больше года отмывался от репутации нуба, который нашел обычную sql-уязвимость, выудил хеши паролей и думает, что это взлом (спасибо, blacksun).
А в 2025 году взломом называется перебор ОТКРЫТЫХ числовых купонов.
Хром выдал разные результаты в Обычном и в Инкогнито режиме.
Еvercookie решал ту же задачу 15 лет назад.
Несколько часов назад откликнулся на вакансию со 100% соответствием моему опыту. И получил отказ. Не удержался, поискал контакт HR и написал ей в телеграм, подробно расписав по пунктам вакансии, что я идеально подхожу под вакансию и спросил про причину отказа.
И получил такой ответ:
И при этом, что интересно, IT образование было убрано из резюме по совету другого HR, который пояснил, что это перегружает резюме.
Или HR не смогла сказать, что отказала по желанию левого пальца правой ноги, или у HR действительно есть скрытые требования, которые не расписываются в резюме.
У ATSки эйчара есть доступ к резюме, которыми я не откликался?
Вряд ли работодатель может зайти на профиль соискателя и увидеть список его резюме.
Скорее всего, тут немного другие подводные камни.
Например, 6 возможных причин: https://chat.qwen.ai/s/329876ba-0f6d-4d53-87a1-5f33db0161e3?fev=0.0.222
Связался с автором этой статьи. Созвонились, но к сожалению, весь за весь созвон я получил только общую информацию, вроде "резюме плохое, нужно исправлять. Я исправлю, и тебя забросают приглашениями."
И ничего нового, никакой конкретики. Даже рыбак дает рыбам червячка на покушать.
После созвона, автор предложил предварительную оплату курса "Путь к офферу мечты" (20 т.р.), который начнется..., через месяц.
Показалось это сомнительным, и предложил ему официальный договор, с оплатой по факту трудоустройства, в 20% от первой зарплаты, что больше стоимости его курса. Автор, закономерно, отказался.
Была такая функция в легаси, которая брала из БД огромное количество записей, и через цикл отправляла HTTP запрос по каждой записи . Скрипт падал, ежик кололся. но продолжал...
Переписал: из БД берется чанк, выполняется и помечается в БД как выполненный. Выполнение в Rabbit.
Попросил у жпт описать этот опыт в резюме, то жпт выдал этот текст, слово в слово.
ps. из реальной практики.
1-е резюме, написанное самостоятельно и криво: 40 откликов = 3-4 приглашения и столько же отказов.
2-е резюме, грамотно написанное жпт: 40 откликов = 1-2 приглашения и очень много отказов.
3-ье резюме, написанное самостоятельно, после опыта с грамотным, но мертвым резюме от жпт: 40 откликов = 6 приглашений и 6 отказов.
Без обид, мне кажется, что алгоритм и вправду лёгкий для новичка.
Но я буду рад узнать новое, если вы скажите, в чем трудность этого алгоритма.
И кста, спасибо за статью.
ps. Надеюсь, вы не ответите в стиле "мопед не мой, ..." :)
Запускать код от ИИ в рабочей среде, без тестов и понимания, что делает каждая строка кода?
Месье 'разработчик' знает толк в извращениях.
Интересно почитать, но не осилил - слишком много букв для простого объяснения. Я не запоминаю эти алгоритмы, благо, подумав логически, их можно изобрести заново.
В функциях недостаточная проверка данных.
findLeftBoundryиbinarySearchHalfOpenIntervalвернут Undefined offset, если target больше, чем количество элементов в массиве. Плохоleft === arr.length, хорошоleft>=arr.lengthкак эта статья связана с IT ?
Причем, у вас все статьи из этой серии. Здравствуй, VC ?
Какая версия PHP описывается в 7-м издании?
Надеюсь не PHP ^7.
---
Сравнение с книгой 2016 года "Создаем динамические веб-сайты с помощью PHP, MySQL, JavaScript, CSS и HTML5. 4-е изд.". В книге описывается PHP 5.
Автор: Р. Никсон
Новое:
MariaDB: Клон MySQL - стр. 31-32
Node.js: альтернатива Apache - стр. 39-40
тема: Установка тайн-аута - стр.257-258
Глава 17. Fetch API - стр.463-475
Глава 20. Введение в React - стр.545-572
Глава 21. Введение в Node.js - стр. 572-594
Исчезло:
тема: Не передавайте аргументы по ссылке
тема: XHTML или HTML5 - стр. 190-191
тема: Процедурный метод использования mysqli - стр. 285-287
тема: register_globals: склонность к использованию устаревших решений - стр. 291-292
раздел c темами: А что нового в HTML5 - стр. 304-310
Глава 17. Использование технологии Ajax
Глава 18. Расширение CSS с помощью CSS3
Глава 21. Введение в jQuery
Глава 22. Введение в HTML5
Глава 23. Холсты в HTML5
Глава 24. Аудио и видео в HTML5
Глава 25. Другие свойства HTML5
Приложения Б, В, Г, Д
Изменения в названиях тем:
исчезло упоминание php-5 в названиях тем, например, было "Деструкторы в PHP 5", стало "Деструкторы"
было "Указатели мест заполнения", стало "Параметризованные запросы"
было "Предотвращение внедрения HTML-кода", стало "Предотвращение внедрения JavaScript в HTML"
в главе 18 про CSS некоторые темы развернуты, было общее "Селекторы", стало "Селектор ^=", "Селектор $=" и тд.
Все остальное ровно то же самое.
Мне кажется, что 2200р дорого за 32 новые страницы.
Я имел ввиду, что текст пропущен через ИИ (потому что в тексте обороты, характерные для ИИ), а именно: что в статье, осуждающей использование ИИ для статей, использован ИИ.
Про 100% генерацию речи не было. :)