Как стать автором
Поиск
Написать публикацию
Обновить
155
Карма
0
Рейтинг
Дмитрий Науменко @SilverFire

Yii Framework core developer

Отправить сообщение
Профиль Публикации 13Комментарии 208Закладки 134

Релиз Yii 2.0.15 и расширений баз данных с исправленными уязвимостями

Время на прочтение4 мин
Количество просмотров11K
PHP*Yii*Информационная безопасность*

Сегодня мы выпускаем обновления Yii для нескольких последних версий 2.0.x и официальных расширений поддержки нереляционных баз данных для исправления найденных уязвимостей. Патчи исправляют проблему в методах слоя ActiveRecord: findOne() и findAll(), которые могут допустить SQL инъекцию, если входящие данные не подготовлены должным образом.


Мы рассматриваем это как уязвимость в Yii потому что документация для этих методов не содержала явного предупреждения о том, что в некоторых случаях передача нефильтрованых пользовательских данных может быть опасной. Мы благодарим Analitic1983 (Habr, GitHub) за обнаружение этой уязвимости.


Проблема относится в большей степени не к самому фреймворку, а к документации по использованию данных методов в приложении. Мы обновили документацию и дополнительно привели примеры кода, который может быть опасен. Однако, обновление документации не исправит приложения, в которых разработчики уже используют методы findOne() и findAll() небезопасно. Чтобы избежать наихудшего сценария – SQL инъекции, мы также изменили поведение этих методов и добавили принудительную фильтрацию входящих данных, которая ограничивает перечень возможных имён столбцов списком свойств модели ActiveRecord.


Исправление, хоть и убирает подавляющее большинство проблем, не исправляет их все, потому дальше в статье мы детально рассмотрим, какой код уязвим и что нужно сделать, чтобы обезопасить себя.

Читать дальше →
Всего голосов 22: ↑21 и ↓1+20
Комментарии22

Yii 2.0.14

Время на прочтение9 мин
Количество просмотров19K
PHP*Yii*

Команда Yii рада представить новую версию PHP фреймворка: Yii 2.0.14. В неё вошло более сотни улучшений и исправлений, включая исправления безопасности.


В релиз вошли несколько изменений, которые могут повлиять на уже работающие приложения. Эти изменения описаны в UPGRADE.md.


Спасибо сообществу Yii за помощь в выпуске этого обновления!


За процессом разработки можно следить, поставив звёздочку на GitHub. У нас есть много сообществ Yii, где вы можете попросить помощи или поделится своим опытом — мы и тысячи других пользователей Yii будем рады вашему участию.


Этот релиз знаменателен тем, что становится последним релизом в версии Yii 2.0, содержащим улучшения. Это значит, что мы сконцентрируем силы на разработке версии 2.1.x, в которую войдёт много новых улучшений, которые невозможно включить в ветку 2.0.х из-за ограничений по сохранению обратной совместимости. Несмотря на это, ветка 2.0.х будет получать исправления и улучшения безопасности. Сроки окончания поддержки 2.0.х будут объявлены вместе с релизом версии 2.1.


Убедитесь что версия фреймворка в composer.json прописана верно (~2.0.14) и вы не обновитесь на 2.1 случайно, когда он релизнется.


Ниже мы рассмотрим самые интересные улучшения и исправления релиза. Полный список можно, как обычно, найти в CHANGELOG.

Читать дальше →
Всего голосов 41: ↑40 и ↓1+39
Комментарии59

Уязвимости выполнения произвольного кода в PHPMailer и SwiftMailer

Время на прочтение3 мин
Количество просмотров24K
PHP*Yii*

В последние дни было зарегистрировано три уязвимости, касающиеся PHPMailer и SwiftMailer:



Все три отчёта об уязвимостях упоминают фреймворк Yii наряду с другими PHP фреймворками как уязвимый, потому цель этой статьи — прояснить, кто именно подвержен этой уязвимости и что нужно сделать для того, чтобы обезопасить себя.

Читать дальше →
Всего голосов 31: ↑31 и ↓0+31
Комментарии11

WebMoney.ru не работает

Время на прочтение6 мин
Количество просмотров34K
Платежные системы*


Сегодня, ориентировочно в 9:00 UTC было замечено прекращение резолва домена webmoney.ru. В реестре домен активен, NS'ы есть, на них домен резолвится, но уже начиная с корневых серверов .ru — домен не работает.

Как можно попасть на WebMoney:
  • webmoney на украинском домене webmoney.ua
  • по IP адресам: 77.246.100.42, 94.75.214.18, 88.198.43.118, 89.108.126.29, 217.23.144.177
  • xandr0s: для работы Keeper добавить в hosts
    добавить в hosts
    212.158.173.184 agent.webmoney.ru
    91.200.28.184 agent.webmoney.ru
    91.227.52.184 agent.webmoney.ru
    212.118.48.184 agent.webmoney.ru
    91.200.28.203 antivirus.webmoney.ru
    212.118.48.9 banking.webmoney.ru
    212.158.173.9 banking.webmoney.ru
    91.227.52.9 banking.webmoney.ru
    212.118.48.19 cert.webmoney.ru
    212.158.173.19 cert.webmoney.ru
    212.118.48.224 certsrv.webmoney.ru
    212.118.48.176 chat.webmoney.ru
    91.227.52.45 check.webmoney.ru
    91.200.28.45 check.webmoney.ru
    212.118.48.116 cs.webmoney.ru
    195.161.113.190 domains.webmoney.ru
    217.23.144.179 download.webmoney.ru
    77.246.100.44 download.webmoney.ru
    88.198.43.118 download.webmoney.ru
    89.108.126.82 download.webmoney.ru
    94.75.214.64 download.webmoney.ru
    212.118.48.203 education.webmoney.ru
    91.200.28.14 events.webmoney.ru
    91.227.52.14 events.webmoney.ru
    212.118.48.14 events.webmoney.ru
    212.158.173.14 events.webmoney.ru
    212.118.48.171 files.webmoney.ru
    212.118.48.142 forum.webmoney.ru
    91.200.28.123 m.webmoney.ru
    91.227.52.123 m.webmoney.ru
    212.118.48.26 mail.webmoney.ru
    91.200.28.123 mobile.webmoney.ru
    91.227.52.123 mobile.webmoney.ru
    91.200.28.194 my.webmoney.ru
    91.227.52.194 my.webmoney.ru
    212.118.48.194 my.webmoney.ru
    212.158.173.194 my.webmoney.ru
    91.227.52.254 pics.webmoney.ru
    212.118.48.163 ps.webmoney.ru
    91.232.115.32 reports.webmoney.ru
    91.200.28.36 search.webmoney.ru
    212.118.48.181 security.webmoney.ru
    212.158.173.181 security.webmoney.ru
    91.227.52.181 security.webmoney.ru
    91.227.52.111 sms.webmoney.ru
    212.118.48.26 smtp.webmoney.ru
    212.118.48.150 start.webmoney.ru
    212.158.173.150 start.webmoney.ru
    91.227.52.22 start.webmoney.ru
    91.200.28.50 stats.webmoney.ru
    91.227.52.50 stats.webmoney.ru
    91.227.52.14 support.webmoney.ru
    91.200.28.14 support.webmoney.ru
    91.200.28.12 video.webmoney.ru
    91.227.52.12 video.webmoney.ru
    212.118.48.42 wap.webmoney.ru
    91.227.52.227 wiki.webmoney.ru
    94.75.214.18 www.webmoney.ru
    217.23.144.177 www.webmoney.ru
    77.246.100.42 www.webmoney.ru
    88.198.43.118 www.webmoney.ru
    89.108.126.29 www.webmoney.ru
    89.108.126.29 www-2.webmoney.ru
    212.118.48.185 wmsc1.webmoney.ru
    212.118.48.6 wmsc1.webmoney.ru
    212.118.48.177 wmsc1.webmoney.ru
    212.118.48.179 wmsc1.webmoney.ru
    212.118.48.134 wmsc1.webmoney.ru
    212.118.48.178 wmsc1.webmoney.ru
    212.118.48.5 wmsc1.webmoney.ru
    212.118.48.7 wmsc1.webmoney.ru
    212.118.48.131 wmsc1.webmoney.ru
    212.118.48.138 wmsc1.webmoney.ru
    212.118.48.132 wmsc1.webmoney.ru
    212.118.48.176 wmsc1.webmoney.ru
    212.118.48.135 wmsc1.webmoney.ru
    212.118.48.180 wmsc1.webmoney.ru
    212.118.48.133 wmsc1.webmoney.ru
    212.118.48.129 wmsc1.webmoney.ru
    212.118.48.139 wmsc1.webmoney.ru
    212.118.48.187 wmsc1.webmoney.ru
    212.118.48.136 wmsc1.webmoney.ru
    212.118.48.186 wmsc1.webmoney.ru
    212.158.173.139 wmsc2.webmoney.ru
    212.158.173.136 wmsc2.webmoney.ru
    212.158.173.179 wmsc2.webmoney.ru
    212.158.173.5 wmsc2.webmoney.ru
    212.158.173.6 wmsc2.webmoney.ru
    212.158.173.129 wmsc2.webmoney.ru
    212.158.173.180 wmsc2.webmoney.ru
    212.158.173.135 wmsc2.webmoney.ru
    212.158.173.138 wmsc2.webmoney.ru
    212.158.173.131 wmsc2.webmoney.ru
    212.158.173.134 wmsc2.webmoney.ru
    212.158.173.133 wmsc2.webmoney.ru
    212.158.173.132 wmsc2.webmoney.ru
    212.158.173.7 wmsc2.webmoney.ru
    212.158.173.185 wmsc2.webmoney.ru
    212.158.173.178 wmsc2.webmoney.ru
    212.158.173.176 wmsc2.webmoney.ru
    212.158.173.177 wmsc2.webmoney.ru
    91.227.52.145 wmsc3.webmoney.ru
    91.227.52.146 wmsc3.webmoney.ru
    91.227.52.133 wmsc3.webmoney.ru
    91.227.52.140 wmsc3.webmoney.ru
    91.227.52.129 wmsc3.webmoney.ru
    91.227.52.138 wmsc3.webmoney.ru
    91.227.52.141 wmsc3.webmoney.ru
    91.227.52.135 wmsc3.webmoney.ru
    91.227.52.136 wmsc3.webmoney.ru
    91.227.52.132 wmsc3.webmoney.ru
    91.227.52.139 wmsc3.webmoney.ru
    91.227.52.134 wmsc3.webmoney.ru
    91.227.52.142 wmsc3.webmoney.ru
    91.227.52.143 wmsc3.webmoney.ru
    91.227.52.144 wmsc3.webmoney.ru
    91.227.52.131 wmsc3.webmoney.ru
    91.200.28.142 wmsc4.webmoney.ru
    91.200.28.146 wmsc4.webmoney.ru
    91.200.28.135 wmsc4.webmoney.ru
    91.227.52.148 wmsc4.webmoney.ru
    91.200.28.139 wmsc4.webmoney.ru
    91.200.28.129 wmsc4.webmoney.ru
    91.200.28.148 wmsc4.webmoney.ru
    91.200.28.132 wmsc4.webmoney.ru
    91.200.28.143 wmsc4.webmoney.ru
    91.200.28.134 wmsc4.webmoney.ru
    91.200.28.130 wmsc4.webmoney.ru
    91.200.28.141 wmsc4.webmoney.ru
    91.200.28.144 wmsc4.webmoney.ru
    91.200.28.147 wmsc4.webmoney.ru
    91.200.28.131 wmsc4.webmoney.ru
    91.200.28.136 wmsc4.webmoney.ru
    91.200.28.140 wmsc4.webmoney.ru
    91.200.28.138 wmsc4.webmoney.ru
    91.227.52.147 wmsc4.webmoney.ru
    91.200.28.133 wmsc4.webmoney.ru
    91.200.28.145 wmsc4.webmoney.ru
    216.137.61.158 dl.webmoney.ru
    91.227.52.24 keeper3.webmoney.ru
    212.118.48.151 keeper3.webmoney.ru
    91.227.52.24 keeper.webmoney.ru
    212.118.48.151 keeper.webmoney.ru


Как выяснилось в 9:45 GMT, в пресс-службе WebMoney сообщили о проблемах на стороне компании-регистратора доменного имени сайта — Ru-Center
По состоянию на 10:45 GMT работоспособность домена webmoney.ru была возобновлена, изменения расползаются по DNS серверам.
Читать дальше →
Всего голосов 64: ↑44 и ↓20+24
Комментарии38

Mari0

Время на прочтение1 мин
Количество просмотров2K
Веб-разработка*


Две игры из совершенно разных эпох: Super Mario Bros. от Nintendo и Portal от Valve вместе!
Теперь у Марио в руках есть портальный пистолет и в игре уже появляются элементы головоломки. Хотите больше эпичности? Подключайте к компу геймпады и играйте вместе с друзьями — у каждого будет свой Portal gun!

От себя скажу, что идея очень классная. Надеюсь, игра всё-таки будет доделана и выпущена в паблик.



Via
Всего голосов 144: ↑133 и ↓11+122
Комментарии40

Релиз PuTTY 0.61, или внезапность спустя 5 лет разработок

Время на прочтение1 мин
Количество просмотров4.6K
*nix*
imageЗашел сегодня днём с ноута друга на оф. сайт PuTTY, чтобы его выкачать, и, внезапно, обнаружил PuTTY 0.61.
Что нового в релизе, который ждали 5 лет?!
Всего голосов 135: ↑130 и ↓5+125
Комментарии133

Обзор зарядного устройства TechnoLine BC-700, или мой опыт восстановления Ni-MH аккумуляторов

Время на прочтение6 мин
Количество просмотров314K
Компьютерное железо
Опыт восстановления Ni-MH аккумуляторов, или обзор зарядного устройства Techno Line BC700

Так случилось, что после двух лет активного увлечения фотографией я немного подзабил на всё это дело. И, вот, спустя год, недельки 3 назад, меня «пробило» на фото. Достал фотоаппарат, аккумуляторы, побежал на радостях фотографировать. Сделал 2 фотки, получил сообщение: «Замените аккумуляторы». «С кем не бывает, захватил случайно разряженный комплект», подумал я. Поставил другой комплект — одна-две фотки и фотоаппарат просит новые батарейки. Так со всеми моими четырьмя парами аккумуляторов. Не въехав в ситуацию, пошел, воткнул их в зарядку, пока читал на ночь хабр, заметил, что от момента установки на зарядку не прошло и пяти минут, а светодиод зарядного устройства уже оповещает о полной зарядке. С этого момента и началась история. Добро пожаловать под кат!
Читать дальше →
Всего голосов 133: ↑125 и ↓8+117
Комментарии188

10 способов улучшить свои навыки программирования

Время на прочтение4 мин
Количество просмотров88K
Программирование*
Перевод

1. Выучить новый язык программирования


Изучение нового языка программирования разовьет новые способы мышления, особенно если новый язык программирования использует парадигмы, с которыми Вы еще не знакомы. Многие из приобретенных способов мышления могут быть применены к языкам, которые уже знаете. Возможно, вы даже полюбите новый для Вас язык программирования настолько, что начнёте использовать его для серьёзных проектов.

Среди языков программирования отличный познавательный эффект и наверстывание опыта дают: Lisp (или Scheme), Форт, PostScript или Factor (стековые языки программирования), Haskell (строго типизированный, чистый функциональный язык) либо OCaml (объектно-ориентированный язык функционального программирования), Пролог (логическое программирование), Erlang (отличные паралельные вычисления).

Читать дальше →
Всего голосов 239: ↑227 и ↓12+215
Комментарии96

IBM разрабатывает «мгновенную» память, в 100 раз быстрее флэш

Время на прочтение1 мин
Количество просмотров1.1K
Компьютерное железо
Перевод


Надо отдать должное инженерам IBM. Они сумели перейти к работе после празднования 100-летнего юбилея корпорации, и объявить о новом изобретении. На этот раз это новый вид памяти на основе фазового перехода (PCM). Скорость чтения и записи в 100 раз быстрее, чем у флэш-памяти, выдерживает несколько миллионов циклов записи (у flash в среднем – 100 тысяч), да и цена прогнозируется достаточно низкая, что даст возможность использовать технологию в большом диапазоне устройств: от серверов с высокой нагрузкой, до мобильных телефонов.
Читать дальше →
Всего голосов 76: ↑73 и ↓3+70
Комментарии76

3DMark Vantage: новый суммарный рекорд

Время на прочтение1 мин
Количество просмотров2.1K
Компьютерное железо
image

Известный оверклокер duck установил новый мировой рекорд в 3DMark Vantage. Рекорд был побит на мероприятии, которое, по-видимому, проводилось компанией Galaxy. Японцу наконец-то удалось преодолеть заветную отметку в 75000 очков, которую два месяца назад едва не покорил оверклокер k|ngp|n, и набрать 75324 «попугая». Для достижения такого впечатляющего результата duck использовал четыре видеокарты Galaxy GeForce GTX 580, объединённые в 4-Way SLI и разогнанные до 1170/4500 МГц (ядро/память).
Читать дальше →
Всего голосов 23: ↑14 и ↓9+5
Комментарии12

Вредоносные программы — 2010: годовой отчёт

Время на прочтение7 мин
Количество просмотров2.4K
Антивирусная защита*
imageМинувший 2010 год можно назвать годом расцвета интернет-мошенничества. Злоумышленниками придумано и воплощено десятки схем получения нелегального дохода, а само вредоносное ПО попало на сотни миллионов компьютеров.

Итак, рейтинг мошеннических инструментов — 2010.
Внимание, трафик!
Читать дальше →
Всего голосов 66: ↑60 и ↓6+54
Комментарии68

Сенсорная мышь Touch Mouse от Microsoft

Время на прочтение2 мин
Количество просмотров30K
Компьютерное железо
image


Корпорация Microsoft на CES 2011 продемонстрировала свою новую разработку — компьютерную мышь Touch Mouse, но теперь мы увидели некоторые изменения по сравнению с предыдущим анонсом этого девайса. «Свежий» вариант устройства стал почти полностью сенсорным и лишился даже колёсика для скроллинга — его тоже заменит сенсор. Скроллить можно будет соответствующими движениями по всей поверхности мышки. Механическими остались лишь правая и левая кнопки мыши.

Картинки кликабельны.
Читать дальше →
Всего голосов 88: ↑68 и ↓20+48
Комментарии221

Лабораторный источник постоянного напряжения из блока питания

Время на прочтение4 мин
Количество просмотров433K
DIY или Сделай сам
Из песочницы
image

Несколько недель назад мне для некого опыта потребовался источник постоянного напряжения 7V и силой тока в 5A. Тут-же отправился на поиски нужного БП в подсобку, но такого там не нашлось. Спустя пару минут я вспомнил о том, что под руки в подсобке попадался блок питания компьютера, а ведь это идеальный вариант! Пораскинув мозгами собрал в кучу идеи и уже через 10 минут процесс начался.
Читать дальше →
Всего голосов 122: ↑116 и ↓6+110
Комментарии143

Информация

В рейтинге
Не участвует
Откуда
Киев, Киевская обл., Украина
Зарегистрирован
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr