Никакой интернет-магазин, пусть он написан на коленке обкурившимся студентом, и действительно имеет кучу дыр для внедрения вредоносных программ НЕ ПОЛУЧАЕТ от клиента никаких! данных по банковской карте.
Как раз наоборот, тем более в большинтво известных клонов е-шопов (оскомерс и тд) уже поддерживают данную возможность. Вплоть до сохранения ccv.
Забавно что почти ровно 3 года назад, в сентябре 2007го «загнули» и фетхард, на чем у тонны людей, грубо говоря «вебмастеров», а в простонародье фармеров, адалтников и тд прогорели тысячи и тысячи $.
> Дубна – город ученых, инженеров, физиков и велосипедистов.
К сожалению 90% ученых, физиков инженеров — забытые всеми 60+ летние жители этого замечательного города (бываю там довольно-таки часто, имею местных родственников, в том числе и «оияйцев» (местное прозвание)). Сам университет разваливается, особенно после недавней смерти директора линк, после которого властьв нем буквально делили, разрывали на части. Работающие там люди просто и ясно говорят — института как такового практически и нет.
Не буду вдаваться в политику и остальное, просто обидно, особоенно на фоне различных пиаров «русской кремнеевой долины».
А если все таки они там не работали оффициально, то это квалифицируется как «Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину» cт 159, п2
УК РФ, статья 200. Обман потребителей
дополнение 4
4. Субъектом данного преступления могут выступать как служащие организаций, осуществляющих реализацию товаров или оказывающих услуги населению (независимо от форм организаций и видов собственности), так и граждане, зарегистрированные в качестве индивидуальных предпринимателей в сфере торговли или услуг. Обман потребителя иными лицами квалифицируется как мошенничество, ответственность за которое предусмотрена ст.159 настоящего Кодекса.
т.е. в случае оффициальной работы в организации все служащие организации могут быть привлечены к ответственности, если нет — то то, что они там вообще делали совсем другой разговор.
1.
Совершенно неоправдан с точки зрения использования XSS (защитит от банального <script>js code</script>, не более.
Запрет переопределений через _REQUEST ни в какие ворота не лезет, вероятно вы не совсем понимаете смысла GPC и _request.
Также не защитит от глобальных переопределений через extract, в принципе единственное что тут можно сделать — перейти на последний пхп, register_globals must die :)
4.
Единственное, от чего это может защитить — «падение» php, тоже не особо оправдано :)
7.
— Запрет eval() ничего не даст. Обычные ошибки движкописателей, при которых можно выполнять пхп код — это preg_replace с #e и, вероятно, create_function. В первом случае будут использоваться {${phpinfo()}}, во втором — в зависимости от ситуации, но вот eval() там точно не будет присутствовать :)
— CONCAT — а что мешает хацкеру не использовать объединения?
— UNION+SELECT — прямой вывод с помощью nion+select обходится многими способами.
1) union/**/select
2) подзапросы (просто select)
3) вывод через ошибки duplicate и многие другие
— base64 не единственная функция кодирования в пхп :))
Но что реально тут поможет, или хотя бы затруднит хацкеру взлом, это фильтрация конкретно «select», «substring». Главное чтобы они не встречалось в ваших ЧПУ :)
пруф
gibdd74.ru/QUESTS/Voprosy_po_administrativnym_vzyskanijam?PairId=[sql inj]
Как раз наоборот, тем более в большинтво известных клонов е-шопов (оскомерс и тд) уже поддерживают данную возможность. Вплоть до сохранения ccv.
лучше не утверждать что это 4G, до 4G им как до Марса :)
пруф
Чуть чуть посложнее и прокатывает любой жс.)
К сожалению 90% ученых, физиков инженеров — забытые всеми 60+ летние жители этого замечательного города (бываю там довольно-таки часто, имею местных родственников, в том числе и «оияйцев» (местное прозвание)). Сам университет разваливается, особенно после недавней смерти директора линк, после которого властьв нем буквально делили, разрывали на части. Работающие там люди просто и ясно говорят — института как такового практически и нет.
Не буду вдаваться в политику и остальное, просто обидно, особоенно на фоне различных пиаров «русской кремнеевой долины».
дополнение 4
4. Субъектом данного преступления могут выступать как служащие организаций, осуществляющих реализацию товаров или оказывающих услуги населению (независимо от форм организаций и видов собственности), так и граждане, зарегистрированные в качестве индивидуальных предпринимателей в сфере торговли или услуг. Обман потребителя иными лицами квалифицируется как мошенничество, ответственность за которое предусмотрена ст.159 настоящего Кодекса.
т.е. в случае оффициальной работы в организации все служащие организации могут быть привлечены к ответственности, если нет — то то, что они там вообще делали совсем другой разговор.
Совершенно неоправдан с точки зрения использования XSS (защитит от банального <script>js code</script>, не более.
Запрет переопределений через _REQUEST ни в какие ворота не лезет, вероятно вы не совсем понимаете смысла GPC и _request.
Также не защитит от глобальных переопределений через extract, в принципе единственное что тут можно сделать — перейти на последний пхп, register_globals must die :)
4.
Единственное, от чего это может защитить — «падение» php, тоже не особо оправдано :)
7.
— Запрет eval() ничего не даст. Обычные ошибки движкописателей, при которых можно выполнять пхп код — это preg_replace с #e и, вероятно, create_function. В первом случае будут использоваться {${phpinfo()}}, во втором — в зависимости от ситуации, но вот eval() там точно не будет присутствовать :)
— CONCAT — а что мешает хацкеру не использовать объединения?
— UNION+SELECT — прямой вывод с помощью nion+select обходится многими способами.
1) union/**/select
2) подзапросы (просто select)
3) вывод через ошибки duplicate и многие другие
— base64 не единственная функция кодирования в пхп :))
Но что реально тут поможет, или хотя бы затруднит хацкеру взлом, это фильтрация конкретно «select», «substring». Главное чтобы они не встречалось в ваших ЧПУ :)
8. Ничто не мешает нам поставить реферер :)