Silke

Aš parašiau bendrus patarimus:)
O kaip saugoti ir ką "eskaipinti" jau turi spręsti pats programuotojas.

News.ycombinator.com - hacker news. Naujienos iš viso pasaulio, daugiau ar mažiau susiję su it.

Įkišiu savo trigrašį – nemanau, kad kažkas blogo yra savaime, pvz., demonstravime, kaip veikia SQL injekcija. Jei autorius, kaip pats sako, nori atakuoti (pentestinti) savo svetainę, tai žinoma, kad jam reikėtų išmokti ir pačią ataką. Tiesiog dvi to paties medalio pusės. Žr. Kerniaus „geras programuotojas turi būti ir geras hakeris“.
 
Aišku, tame ir bėda: jei ims ir panaudos prieš svetimą svetainę visiškai tą patį dalyką, tai jau taps nelegalu. Lygiai, kaip išsilaikęs teises gali važinėti tvarkingai, o gali važinėti per žmones. Lygiai, kaip turėdamas medicininę įrangą, gali žmones gydyti, gali žudyti.
 
Mano žodis čia vargiai ką reiškia, bet, tarkim, jei forume kada atsirastų detalus tutorialas apie SQL injekciją, neįsivaizduoju jo be bent jau minimalaus atakos parodymo.
 
--
PDO magiškai neapsaugo: apsaugos tik tada, kai naudosi bindindamas parametrus (visur ir visada).
 
--
 
Autoriui: internete neabejotinai rasi informacijos apie SQL injekciją. Aišku, kai kada sunku atskirti normalius šaltinius nuo skriptvaikių tutorialų „how to haxx sites omg“.
 
Bet dabartinėj situacijoj, nelabai žinau, kodėl tu turi nemokėti išnaudoti spragos. Juk visą kodą turi, maždaug turi žinoti, kame bėda: tiesiog imi savo SQL užklausą, imi tą vartotojo kišamą dalį ir galvoji, kaip suformavus viską, kad išeitų nebe tokia užklausa, kokia turėtų būti, o naudingesnė atakeriui :)

Įkišiu savo trigrašį – nemanau, kad kažkas blogo yra savaime, pvz., demonstravime, kaip veikia SQL injekcija. Jei autorius, kaip pats sako, nori atakuoti (pentestinti) savo svetainę, tai žinoma, kad jam reikėtų išmokti ir pačią ataką. Tiesiog dvi to paties medalio pusės. Žr. Kerniaus „geras programuotojas turi būti ir geras hakeris“.
 
Aišku, tame ir bėda: jei ims ir panaudos prieš svetimą svetainę visiškai tą patį dalyką, tai jau taps nelegalu. Lygiai, kaip išsilaikęs teises gali važinėti tvarkingai, o gali važinėti per žmones. Lygiai, kaip turėdamas medicininę įrangą, gali žmones gydyti, gali žudyti.
 
Mano žodis čia vargiai ką reiškia, bet, tarkim, jei forume kada atsirastų detalus tutorialas apie SQL injekciją, neįsivaizduoju jo be bent jau minimalaus atakos parodymo.
 
--
PDO magiškai neapsaugo: apsaugos tik tada, kai naudosi bindindamas parametrus (visur ir visada).
 
--
 
Autoriui: internete neabejotinai rasi informacijos apie SQL injekciją. Aišku, kai kada sunku atskirti normalius šaltinius nuo skriptvaikių tutorialų „how to haxx sites omg“.
 
Bet dabartinėj situacijoj, nelabai žinau, kodėl tu turi nemokėti išnaudoti spragos. Juk visą kodą turi, maždaug turi žinoti, kame bėda: tiesiog imi savo SQL užklausą, imi tą vartotojo kišamą dalį ir galvoji, kaip suformavus viską, kad išeitų nebe tokia užklausa, kokia turėtų būti, o naudingesnė atakeriui :)

galvojau kiek laiko praeis nuo naujos narės registracijos iki nuotraukos paprašymo :rolleyes:
Ir štai ... paprašė pirmas ^_^

Įkišiu savo trigrašį – nemanau, kad kažkas blogo yra savaime, pvz., demonstravime, kaip veikia SQL injekcija. Jei autorius, kaip pats sako, nori atakuoti (pentestinti) savo svetainę, tai žinoma, kad jam reikėtų išmokti ir pačią ataką. Tiesiog dvi to paties medalio pusės. Žr. Kerniaus „geras programuotojas turi būti ir geras hakeris“.
 
Aišku, tame ir bėda: jei ims ir panaudos prieš svetimą svetainę visiškai tą patį dalyką, tai jau taps nelegalu. Lygiai, kaip išsilaikęs teises gali važinėti tvarkingai, o gali važinėti per žmones. Lygiai, kaip turėdamas medicininę įrangą, gali žmones gydyti, gali žudyti.
 
Mano žodis čia vargiai ką reiškia, bet, tarkim, jei forume kada atsirastų detalus tutorialas apie SQL injekciją, neįsivaizduoju jo be bent jau minimalaus atakos parodymo.
 
--
PDO magiškai neapsaugo: apsaugos tik tada, kai naudosi bindindamas parametrus (visur ir visada).
 
--
 
Autoriui: internete neabejotinai rasi informacijos apie SQL injekciją. Aišku, kai kada sunku atskirti normalius šaltinius nuo skriptvaikių tutorialų „how to haxx sites omg“.
 
Bet dabartinėj situacijoj, nelabai žinau, kodėl tu turi nemokėti išnaudoti spragos. Juk visą kodą turi, maždaug turi žinoti, kame bėda: tiesiog imi savo SQL užklausą, imi tą vartotojo kišamą dalį ir galvoji, kaip suformavus viską, kad išeitų nebe tokia užklausa, kokia turėtų būti, o naudingesnė atakeriui :)

Come on, kiek galima beprasmiškai ginčytis... Gana. Teisingos ir naudojamos yra ABI terminologijos versijos.
 
Kai kada front-end/back-end yra naudojama diferencijuoti vartotojo matomus puslapius (front-end), nuo administracijos vidinių interfeisų (back-end). Atsimenu, kažkada ir kai su Joomla dirbau, taip vadindavo... Lyg :)
(Administration Back-end, o čia išvis tiesiog Back-end)
 
Bet dabar dažniau front-end vadinama būtent tai, apie ką kalba gio: kliento pusės programavimas (ir nesvarbu, ar admin panelė, ar kas kita), o back-end: aplikacijos kodas serveryje, visa duomenų saugojimo logika, ir t.t. :)
 
Esnyper turėjo omeny admin panelę (aš irgi susimėčiau, kol nebuvau atsivertęs temos), kas pirmąja terminologijos reikšme reiškia back-end'ą, bet jam reikia front-end'o šablono (antrąja, dažnesne reikšme).

Come on, kiek galima beprasmiškai ginčytis... Gana. Teisingos ir naudojamos yra ABI terminologijos versijos.
 
Kai kada front-end/back-end yra naudojama diferencijuoti vartotojo matomus puslapius (front-end), nuo administracijos vidinių interfeisų (back-end). Atsimenu, kažkada ir kai su Joomla dirbau, taip vadindavo... Lyg :)
(Administration Back-end, o čia išvis tiesiog Back-end)
 
Bet dabar dažniau front-end vadinama būtent tai, apie ką kalba gio: kliento pusės programavimas (ir nesvarbu, ar admin panelė, ar kas kita), o back-end: aplikacijos kodas serveryje, visa duomenų saugojimo logika, ir t.t. :)
 
Esnyper turėjo omeny admin panelę (aš irgi susimėčiau, kol nebuvau atsivertęs temos), kas pirmąja terminologijos reikšme reiškia back-end'ą, bet jam reikia front-end'o šablono (antrąja, dažnesne reikšme).

Come on, kiek galima beprasmiškai ginčytis... Gana. Teisingos ir naudojamos yra ABI terminologijos versijos.
 
Kai kada front-end/back-end yra naudojama diferencijuoti vartotojo matomus puslapius (front-end), nuo administracijos vidinių interfeisų (back-end). Atsimenu, kažkada ir kai su Joomla dirbau, taip vadindavo... Lyg :)
(Administration Back-end, o čia išvis tiesiog Back-end)
 
Bet dabar dažniau front-end vadinama būtent tai, apie ką kalba gio: kliento pusės programavimas (ir nesvarbu, ar admin panelė, ar kas kita), o back-end: aplikacijos kodas serveryje, visa duomenų saugojimo logika, ir t.t. :)
 
Esnyper turėjo omeny admin panelę (aš irgi susimėčiau, kol nebuvau atsivertęs temos), kas pirmąja terminologijos reikšme reiškia back-end'ą, bet jam reikia front-end'o šablono (antrąja, dažnesne reikšme).

Come on, kiek galima beprasmiškai ginčytis... Gana. Teisingos ir naudojamos yra ABI terminologijos versijos.
 
Kai kada front-end/back-end yra naudojama diferencijuoti vartotojo matomus puslapius (front-end), nuo administracijos vidinių interfeisų (back-end). Atsimenu, kažkada ir kai su Joomla dirbau, taip vadindavo... Lyg :)
(Administration Back-end, o čia išvis tiesiog Back-end)
 
Bet dabar dažniau front-end vadinama būtent tai, apie ką kalba gio: kliento pusės programavimas (ir nesvarbu, ar admin panelė, ar kas kita), o back-end: aplikacijos kodas serveryje, visa duomenų saugojimo logika, ir t.t. :)
 
Esnyper turėjo omeny admin panelę (aš irgi susimėčiau, kol nebuvau atsivertęs temos), kas pirmąja terminologijos reikšme reiškia back-end'ą, bet jam reikia front-end'o šablono (antrąja, dažnesne reikšme).

Šių diskusijų reziume: man reikėjo front-end'o back-end'ui
 
Anyway, dėkavoju Gio, atsiuntė ko man reikėjo.

Come on, kiek galima beprasmiškai ginčytis... Gana. Teisingos ir naudojamos yra ABI terminologijos versijos.
 
Kai kada front-end/back-end yra naudojama diferencijuoti vartotojo matomus puslapius (front-end), nuo administracijos vidinių interfeisų (back-end). Atsimenu, kažkada ir kai su Joomla dirbau, taip vadindavo... Lyg :)
(Administration Back-end, o čia išvis tiesiog Back-end)
 
Bet dabar dažniau front-end vadinama būtent tai, apie ką kalba gio: kliento pusės programavimas (ir nesvarbu, ar admin panelė, ar kas kita), o back-end: aplikacijos kodas serveryje, visa duomenų saugojimo logika, ir t.t. :)
 
Esnyper turėjo omeny admin panelę (aš irgi susimėčiau, kol nebuvau atsivertęs temos), kas pirmąja terminologijos reikšme reiškia back-end'ą, bet jam reikia front-end'o šablono (antrąja, dažnesne reikšme).

Kodėl neveikė tavo pirmas variantas:

echo preg_replace("^#[a-Z]","",$string_to_explode);
Regexe ^ reiškia eilutės pradžią (t.y. gaudytų tik patį pirmą # tekste, jei jis būtų iš pat pradžių), [a-Z] keistas ruožas (galbūt turėjai minty [A-z] (šis turi keletą ne-raidžių) ar [A-Za-z]). Be pliuso ruožas gaudo tik vieną raidę.
Susumuojant klaidas, teisingas regexas būtų panašus į:

#[A-Za-z]+
Na, aišku, prisidėtų PHPiniai /.../ ir t.t.

Taip, dažna praktika. Nesunku, tutorialų pakankamai yra. Aišku, normaliai išmokti linux pagrindus visada praverčia. :)

Abiejuose atvejuose su šitu pamiršai escapint antras kabutes.
 
 
Jopapa, kas skaičiuojant visus int'us kiša į string'us?..

int main() { if (tau_nereikes_informatikos) { tiesiog_nesimokyk(IT); } else if (tau_reikes_informatikos) { mokykis(nes_atsiskaitinedamas_svetimais_darbais_neismoksi); } return sekmes_apsisprendziant; }

Pirmiausiai būtinai išmok versijavimo sistemos (tikriausiai Git), kad skirtum, kas yra Git ar Mercurial (versijų kontrolės sistema), o kas Github ar Bitbucket (repozitorijų hostingas). :) Su git repo sukūrimas toks paprastas, gali tiesiog savo kompiuteryje:

git init
Ir ten žaistis: commit, branch, merge, rebase... Aišku, tada jau imti Bitbucket ar kitą hostingą, kad nereiktų hostinti bendros repo pačiam.
 
Dar gerų git resursų:
http://git-scm.com/book
http://pcottle.github.io/learnGitBranching/ (ypač gerai vaizdžiai parodo, kas vyksta Git repo atliekant tam tikrus veiksmus).
 
Beje, nėra taip, kad Github neturėtų privačių repozitorijų – turi, tik mokėti šiek tiek reikia (išskyrus studentus, ir pan.).

Localhost ir reiškia localhost – esamą kompiuterį. Neabejoju, kad hostingas.in neleidžia mysql prisijungimų iš išorės. Ieškok tokio serverio, kuris leistų, arba statyk savo PC.

Na jei ne el. paštu ir darbuotojų pagalba, tai bent interneteto naujienose pamatai, kada ateina laikas pratęsti savo domeno galiojimą.
 
Oj lietuvėliai plepučiai jūs plepučiai :D

var name = $("#"+id).find("h2").text(); o siaip su skaiciais tai prastai kai id grynas skaicius(jei reik as naudoju id_2 paskiau split ir isgaunu id), jeigu pas tave $(this) yra elementas su id tai ta this ir naudok. $(this).find("h2").text();

Versijavimo sistema (aš mėgstu Git). Būtinai. Be jokių „bet“. :) Taip pat galit mastyt apie issue trackerius, įvairius kolaboravimosi toolsus (Trello, Basecamp, ...?).

Localhost ir reiškia localhost – esamą kompiuterį. Neabejoju, kad hostingas.in neleidžia mysql prisijungimų iš išorės. Ieškok tokio serverio, kuris leistų, arba statyk savo PC.

"numeris" laukelio tipą keisk iš integer į varchar. Prieš išsaugant duomenis pats MySQL konvertuoja tavo duotą string'ą į sveikajį skaičių, o numeris kurį matai - didžiausia galima signed integer reikšmė (2^31 - 1)

Jei kalbam apie susijusius pakeitimus vienoje tranzakcijoje, tai čia kaip tik yra the right way – jei iškiltų klaida, ar kas, tai rollbackintųsi viskas kartu, o ne vienas liktų...
 
Autoriaus atveju – ar nepavyktų startuoti tranzakciją atskiroje užklausoje, tada du INSERT per atskiras, ir dar COMMIT? Efektas turėtų būti maždaug tas pats. Nes net nežinia, kaip su tuo bindinimu, kai yra kelios užklausos vienoje...

Be CORS nepadarysi requesto į kitą domeną. Palik savo PHP skriptą, duok jam išvesti JSON iš tos API, o pats kreipkis į jį.