Silke

http://stackoverflow.com/questions/388242/the-definitive-c-book-guide-and-list

Aš tai patarčiau pasižiūrėt Mapus ir pasidaryt. Nėra sudėtingas dalykas vis tik. Be to vistiek už metų teks mokytis. Bus ir lengviau, ir jau dabar būsi praplatinęs savo programavimo žinias.

Būtent dėl to į uždarbio auditoriją ir nesitaikau - čia visi nori visko nemokamai ir galvoja kaip nupiratauti. Ankstesnes mano knygas irgi taip kopijavo ir platino. Ir nieko, mano žinomumą padidino, o pardavimams nepakenkė. Nes tie kurie pirataus yra tie, kurie ir nepirktų, o reiškia ir apie rimtą verslą negalvoja - tai nėra tikslinė auditorija.

Nei autorizacijos nei nieko ir injectionas prasosi tiesiog. Kaip sake jei nemoki server-side kalbos kad savo sistema kurtis, tai arba mokintis arba naudoti kas jau yra, kaip WP. Jei ir naudosi sukurta sistema nebus taip lengva kad ikeli HTML ir baigta. Turi vistiek perkoduot daugiau ar maziau kad sujungt su programos kodu.

md5($this->input->post('password'))
Oh no you didn't...
 
http://codahale.com/how-to-safely-store-a-password/

md5($this->input->post('password'))
Oh no you didn't...
 
http://codahale.com/how-to-safely-store-a-password/

http://en.wikipedia.org/wiki/Comparison_of_Java_and_C++ :|

Nereikia nei verst į int, nei pačiam atsimint pozicijas ASCII lentelėje...
 

eil[i] >= '0' && eil[i] <= '9'
Atkreipkit dėmesį – ruožas imtinai ir skaičiai apostrofuose (char tipas).

Bitcoin nėra centralizuotas, tu niekur neregistruoji. Gali tiesiog parsisiųsti softą, pasileisti – štai ir yra tavo piniginė (paprasčiausias failas tavo kompiuteryje). Ir kokį priminimą čia gali gauti, jei tą failą ėmei ir ištrynei? :) Pasidaryk kelis backupus ir neprarasi...
 
Aišku, yra online piniginių servisų – ten jau gali turėti tą priminimą (ir apskritai, viso tinklalapio į šiukšlyną neįmesi). Bet vėl, trade-off'ai: tinklalapį gali apvogti, ir pan. :) Na, aišku, ir tavo kompą gali...

Yra toks
 

SELECT LAST_INSERT_ID()
 
jeigu tas "id" laukas yra AUTO_INCREMENT.
 
Beje, INSERTui ne readeri naudok, o paprasta ExecuteSQL() metoda.

NE.
 
Baisu. Išnagrinėkim po vieną funkciją.
 
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
 
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
 
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

NE.
 
Baisu. Išnagrinėkim po vieną funkciją.
 
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
 
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
 
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

NE.
 
Baisu. Išnagrinėkim po vieną funkciją.
 
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
 
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
 
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

NE.
 
Baisu. Išnagrinėkim po vieną funkciją.
 
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
 
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
 
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

Tipinė XSS spraga. Kai išvedinėji turinį iš duomenų bazės, išvedinėk ne

echo $turinys;
, bet

echo htmlspecialchars($turinys);
 
Funkcija pakeis visokius <, >, ' ir kitus spec. ženklus jų atitinkamais HTML kodais, ir jie bus atvaizduojami korektiškai. Output'ą visada reikia labai kruopščiai filtruoti. Kaip ir input'ą. Prašom užeiti čia.

Vien tik minusai.
Duomenų bazė tam ir sukurta, kad nereiktų krauti visko į .txt failus.

Vargolio paradoksas: per 2s perskaito temos antraštę ir nusprendžia, kad jam neįdomu. Tada visgi įsijungia temą/straipsnį ir dvi minutes kurpia komentarą apie tai, kaip tai neverta jo dėmesio.

SQL Injectionas taip ir prašosi.

TheLightning ir choosea pasakė tiesą, tik dėl dievo meilės, nenaudok ext/mysql ir nekišk kintamųjų tiesiai į užklausą (kaip parašė TheLightning). Siaubinga. Skylė.

Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(

tai tarp sql uzklausos idek menesio kintamaji su where.
 
esme ta kad uzklausoje nera nurodyta kurio menesio info ismesti todel ismeta visus menesius

Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(

Jei čia norėjai priskirti vieną elementą kitam, tai neteisingai – čia priskiri tik vieno pavadinimą kitam. Reiktų K = K[j].
 
Aišku, tai nepašalina visiškai, nes dabar tiesiog turėsi du vienodus. :) Šalinimas yra toks:

n - elementų kiekis, s - šalinamas elementas a) kai tvarka nesvarbi: K[s] = K[n]; n-- (paskutinį perkeli į šalinamo vietą, vienu elementu sumažėja) b) kai tvarka svarbi: for (int i = s; i < n-1; i++) { K[i] = K[i+1] }; n--; (visus elementus, pradedant nuo šalinamo, perrašo elementais, esančiais viena pozicija toliau, vienu elementu sumažėja)

Nenaudok ext/mysql.
+ Manau, turėsi race condition (jei tik būsi bent tiek populiarus, kad du vartotojai vienu metu registruotųsi):
 

PHP procesai: A ir B Vartotojai: 1 ir 2 Dabartinis ID: 314 1 ir 2 nori užsiregistruoti tuo pačiu metu. A paima 1-am ID 315 B paima 2-am ID 315 A siunčia užklausą, bandydamas įrašyti USER315 B siunčia užklausą, bandydamas įrašyti USER315 KABOOM.

Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(