Когда столкнулся с dbf, я просто сконвертировал его библиотекой, написанной на ruby, в csv и работал уже с ним. Никаких проблем, кроме потраченных пяти минут на поиск нужного решения, не было.
У меня на работе падает пару раз в неделю, грузит проц и кушает всю оперативу раз в пару недель и почти стабильно не стартует нормально после кибернейта :(
Егор спросил: «Как заставить разработчиков всегда объявлять attr_accessible?»
Ему сразу же ответили: «Используй config.active_record.whitelist_attributes, Люк»
Это игнор? Это проёб?
А вот показать в воскресенье всем серьезную уязвимость на сервисе, которому стольким многие разработчики обязаны — это как минимум очень некрасиво.
На рельсах тоже можно писать запросы вида «SELECT * FROM users WHERE users.name LIKE %#{name}». И об этом написано в книжке про рельсы. И точно так же написано, что так делать очень нехорошо.
То, что теперь по умолчанию эта уязвимость не работает — это хорошо. Я согласен с разработчиками, пришедшими к такому выводу.
Но никто не помешает программистам просто отключить это, либо, что еще вероятнее, писать «безопасный» код, запихивая в attr_accessible все поля в модельках. Причем это не голословное утверждение, я сам видел такой код :)
Потрачено
Егор спросил: «Как заставить разработчиков всегда объявлять attr_accessible?»
Ему сразу же ответили: «Используй config.active_record.whitelist_attributes, Люк»
Это игнор? Это проёб?
А вот показать в воскресенье всем серьезную уязвимость на сервисе, которому стольким многие разработчики обязаны — это как минимум очень некрасиво.
То, что теперь по умолчанию эта уязвимость не работает — это хорошо. Я согласен с разработчиками, пришедшими к такому выводу.
Но никто не помешает программистам просто отключить это, либо, что еще вероятнее, писать «безопасный» код, запихивая в attr_accessible все поля в модельках. Причем это не голословное утверждение, я сам видел такой код :)