1. В отличие от исследования Яндекса, но в соответствие с проведенным опросом. У нас подавляющее большинство клиентов пользуются 3 и более способами платежей и это, в общем, логично, мы же агрегатор платежей. 2. В соответствии и с нашим опросом и с исследованием Яндекса, платежи по картам у нас занимают лидирующие позиции. 3. А вот распределение популярности среди способов платежей начиная со второго после карт места, у нас отличается и от исследования Яндекса и от нашего опроса. Как именно, мы не будем уточнять чтобы не превращать наш независимый опрос в рекламную/антирекламную акцию.
Друзья, мы, конечно, проводили опрос не для того, чтобы поставить под сомнение исследование Яндекса. Мы рады, что наш броский заголовок не вызвал отторжения. Благодаря Вашей активности, мы все теперь имеем доступ к небезинтересным данным. Спасибо всем, кто принял участие в опросе.
Ну, мы рассматриваем как это работает в общем виде. Безусловно, prepared statement — хороший и правильный вариант при проектировании новой системы. Если же говорить о приведении в соответствие уже имеющейся, дырявой системы — придется много кода переписать. Экранирование работает нормально, если сами параметры обрамлены в кавычки, как миниум. Также мы сказали, что важно проверять на соответствие типа, и в те SQL-выражения, где значение возможно использовать без кавычек (числа), стринги проходить просто не должны — ну или как минимум abs(intval($val)) должен будет превратить их в ноль.
Уважаемый Scratch, мы «контору» не «пиарим» а делимся проблематикой.
На дворе может быть хоть 2050 год, а целая масса сайтов по прежнему узявимы, как с этим быть?
Конечно, эти векторы — топ-10 и они должны быть известны любому разработчику, казалось бы. Но к сожалению, многим людям они не известны. Только недавно мы проводили дружеский пентест нашим европейским коллегам из одной платежной системы и были просто в ужасе. Статья рассчитана на собственников бизнеса и будет малоинтересна разработчикам, мы об этом сразу сказали в начале материала.
На дворе может быть хоть 2050 год, а целая масса сайтов по прежнему узявимы, как с этим быть?