-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
А придумайте, пожалуйста, вопросиков
- Автор темы MiksIr
- Дата начала
С человеком, который употребляет слово "ламеры" и ставит 4 восклицательных знака подряд, я предпочел бы закончить разговор как можно скорее.
Redjik
Джедай-мастер
Я сначала хотел обидеться и написать гневную триаду... но потом увидел это
сопоставил с этим
и как то полегчало на душе
michelle
Новичок
Уважаемые гуру, вставлю свои 5 копеек.
Допустим вы живете в районе боевых действий. Уехать оттуда невозможно.
А теперь вопрос - в чем вы будете ходить?
а) В кепке и куртке - большая вероятность быть убитым - аналог Храним без фильтрации
б) В каске и бронежилете - есть защита жизненно важных органов - аналог Фильтруем жизненно важные данные
Предположим что бронежилет и каску вы можете спокойно купить.
Допустим вы живете в районе боевых действий. Уехать оттуда невозможно.
А теперь вопрос - в чем вы будете ходить?
а) В кепке и куртке - большая вероятность быть убитым - аналог Храним без фильтрации
б) В каске и бронежилете - есть защита жизненно важных органов - аналог Фильтруем жизненно важные данные
Предположим что бронежилет и каску вы можете спокойно купить.
Нет ничего плохого в том, чтобы ходить в каске.
Беда в том, что бронежилет ты надеваешь на валенки, а каской накрываешь продукты, чтобы не испортились. А на голову натягиваешь презерватив - тоже ведь защищает от чего-то.
При хранении данных никакие пули и снаряды не летают. Они летают при выводе. Вот вывод и надо защищать.
michelle
Новичок
То есть мне жизненно необходимо хранить терабайты данных по ссыкам на порнуху и другим очень "нужным" ресурсам, который занес бот через незакрытую форму? В то время как реально нужных данных несколько мегабайт.
А вирусня включающая себя в IFRAME жизненно нужна в базе и ее оттуда каждый раз при выводе завирусованного контента надо удалять?
Может один раз чик ножом и проблему решить, чем всю жизнь таблетки глотать?
А вирусня включающая себя в IFRAME жизненно нужна в базе и ее оттуда каждый раз при выводе завирусованного контента надо удалять?
Может один раз чик ножом и проблему решить, чем всю жизнь таблетки глотать?
Василий М.
Новичок
Если вы не участник боевых действий, то ходить полюбому в гражданском.
Иначе шанс быть пристреленным одной из сторон резко возрастает. Читай абзац 1.2.1. Пара слов о камуфлированной спецодежде и спецодежде со знаками принадлежности к определенным государственным структурам
michelle
Новичок
Да нет, нормуль.
Это только в этих ваших дагестанах и чечнях постреливают! - тоже шутка ;-)
Я-то не забыл. А вот вы все не понимаете, как он работает.Фанат
ты забыл чтоли свой класс с плейсхолдерами и прочими анти-inj плюшками?
К защите он никакого отношения не имеет. Собственно об этом Vladson и говорил изначально.
Класс предназначен для корректного форматирования элементов запроса. Защищать запросы не надо. Вообще.
Надо корректно форматировать его элементы.
Причем вне зависимости от наличия или отсутствия инъекций. Даже если у нас нету никакого Bobby Tables в классе - это не повод не давать зарегистрироваться Д'Артаньяну (кстати, именно за "saninize your inputs" я ненавижу этот идиотский комикс). Если у нас имя поля date или from приходит не от хакера, а от талантливого программиста - их все равно нужно корректно отформатировать.
Форматирование первично. Защита не нужна.
MiksIr
miksir@home:~$
Корректное форматирование элементов запроса и есть _защита_.
От того, что вам одно слово нравится, а другое нет - суть не меняется. Защита, форматирование, фильтрация - в нашем случае есть не более чем синонимы производящие по сути одно и тоже действие.
О чем вы тут спорите совершенно не ясно.
Если уж правильно задавать общий вопрос, то нужно спрашивать - на каких уровнях от каких известных атак нужно защищаться (фильтровать, форматировать).
От того, что вам одно слово нравится, а другое нет - суть не меняется. Защита, форматирование, фильтрация - в нашем случае есть не более чем синонимы производящие по сути одно и тоже действие.
О чем вы тут спорите совершенно не ясно.
Если уж правильно задавать общий вопрос, то нужно спрашивать - на каких уровнях от каких известных атак нужно защищаться (фильтровать, форматировать).
А вот и нифига. Исходный вопрос был про входящие данные. Защита входящих данных к форматированию SQL никакого отношения не имеет.
Еще раз: если мы пишем руками запрос в скрипте
PHP:
SELECT * FROM users WHERE name='Д\'Артаньян'
PHP:
О чем вы тут спорите совершенно не ясно.Вот здесь соглашусь. Причем заодно - какие именно меры защиты надо применять (вот тут-то они все и посыпятся).
Вурдалак
Продвинутый новичок
Использование слово «защита» предполагает, что для нас имеется какое-то различие в источнике данных. Получается, в одном случае — это экранирование данных, а если подставить $_POST['data'] — это уже внезапно защита. «Защита» — всего лишь побочный эффект.
Просто есть сложные случаи вроде возможности использовать свой HTML-код при оформлении сообщения. Тут — да, можно даже использовать слово «защита» и «фильтрация». Причём, по-хорошему это делается анализом сообщения где-нибудь на уровне AST для исключения «запрещённых» нодов. Самая натуральная фильтрация.
Просто есть сложные случаи вроде возможности использовать свой HTML-код при оформлении сообщения. Тут — да, можно даже использовать слово «защита» и «фильтрация». Причём, по-хорошему это делается анализом сообщения где-нибудь на уровне AST для исключения «запрещённых» нодов. Самая натуральная фильтрация.
Есть еще второй уровень непонимания, как у тов. Vladson, когда истина о том, что к защите правильное форматирование не имеет никакого отношения, усвоена, отрицать термин "защита" целиком.
Очевидный пример (хоть и выходящий за скоуп php-программирования), когда кроме как защитой, ничего сделать нельзя - DDOS-атака.