Kohana Безопасность Kohana

vinsi

Новичок
Я долго писал проект на этом фреймворке, большая работа и тд...
Вчера наткнулся на эту тему http://habrahabr.ru/post/150201/ и вообще обиделся... оказывается этот фреймворк дрявый и писать на нем большие проекты не стоит?
У меня сейчас выбор:
Или обновиться до версии кохана где поправили эту уязвимость (но не факт что там вообще нет уязвимостей)
или писать вообще с нуля >:C

Что посоветуете?
PS: я еще тот параноик
 

флоппик

promotor fidei
Команда форума
Партнер клуба
Фреймворк пишут люди. Люди — не идеальны, люди — ошибаются. Ошибка, кстати, весьма специфичная, ноги у нее растут из отсутствия нормальной работы с UTF8 в PHP в принципе. Мы например, не пострадали просто потому, что кириллицу в редиректах не использовали.
Багфикс вышел буквально в тот же день.
 

fixxxer

К.О.
Партнер клуба
ну, вообще говоря, за preg_replace /e надо расстреливать на месте. первыми расстрелять тех, кто этот флаг вообще придумал

тяжело через preg_replace_callback сделать. ой, на три строчки писать больше

я ровно такой же косяк и ровно такие же уязвимости видел уже раза три минимум, в какой-то популярной тикеталке оно было в сабже тикета, там где id парсился =)
 

Absinthe

жожо
Вчера наткнулся на эту тему http://habrahabr.ru/post/150201/ и вообще обиделся... оказывается этот фреймворк дрявый и писать на нем большие проекты не стоит?
И что? Вот в рельсах дыры часто находят, но при этом все на рельсы равняются.
А то, что находят, закрывается сразу же.

ну, вообще говоря, за preg_replace /e надо расстреливать на месте. первыми расстрелять тех, кто этот флаг вообще придумал
А любой современный школьник образованнее древних ученых.
 

Absinthe

жожо
Ragazzo точно знаю, что ZF, т.к. это у них написано в документации :D
Хотя это не лучший пример.
 

Ragazzo

TDD interested
Absinthe
Да уж. :) Вообще сейчас надо очень тихо говорить/упоминать рельсы, иначе можно оглохнуть от криков "решето" :D
 

fixxxer

К.О.
Партнер клуба
Рельсы стали заложниками своей собственной идеологии, доведенной уже до маразма: уязвимости в тех фичах фреймворка, которые никому не нужны и о которых никто даже не знал, что они есть. Все-таки совсем все подряд не надо включать по дефолту. :)
 

Здыхлик

Kohaner
Команда форума
А как вы оцениваете уровень безопасности в кохане? Стоит доверять?

А разработчики коханы часто ошибаются?)
"Потребители" Коханы косячат намного чаще, чем разработчики фреймворка ;)
 
Сверху