-
Pranešimai
6.462 -
Užsiregistravo
-
Lankėsi
-
Laimėta dienų
11 -
Atsiliepimai
100%
Reputacijos išklotinė
-
Silke gavo reakciją nuo tiporimvis Uždaviniai/Literatūra savarankiškam mokymuisi?
http://stackoverflow.com/questions/388242/the-definitive-c-book-guide-and-list -
Silke sureagavo į Sharpaz Problemėlė C++
Aš tai patarčiau pasižiūrėt Mapus ir pasidaryt. Nėra sudėtingas dalykas vis tik. Be to vistiek už metų teks mokytis. Bus ir lengviau, ir jau dabar būsi praplatinęs savo programavimo žinias.
-
Silke sureagavo į ReikiaPuslapio Mano e-knyga: "Web-projektų marketingas"
Būtent dėl to į uždarbio auditoriją ir nesitaikau - čia visi nori visko nemokamai ir galvoja kaip nupiratauti. Ankstesnes mano knygas irgi taip kopijavo ir platino. Ir nieko, mano žinomumą padidino, o pardavimams nepakenkė. Nes tie kurie pirataus yra tie, kurie ir nepirktų, o reiškia ir apie rimtą verslą negalvoja - tai nėra tikslinė auditorija.
-
Silke sureagavo į GPC HTML admin pultas
Nei autorizacijos nei nieko ir injectionas prasosi tiesiog. Kaip sake jei nemoki server-side kalbos kad savo sistema kurtis, tai arba mokintis arba naudoti kas jau yra, kaip WP. Jei ir naudosi sukurta sistema nebus taip lengva kad ikeli HTML ir baigta. Turi vistiek perkoduot daugiau ar maziau kad sujungt su programos kodu.
-
Silke gavo reakciją nuo Pattio Codeigniter klausimai
md5($this->input->post('password'))
Oh no you didn't...
http://codahale.com/how-to-safely-store-a-password/
-
Silke gavo reakciją nuo Pattio Codeigniter klausimai
md5($this->input->post('password'))
Oh no you didn't...
http://codahale.com/how-to-safely-store-a-password/
-
-
Silke gavo reakciją nuo Valdas3 C++ skaicius is stringo
Nereikia nei verst į int, nei pačiam atsimint pozicijas ASCII lentelėje...
eil[i] >= '0' && eil[i] <= '9'
Atkreipkit dėmesį – ruožas imtinai ir skaičiai apostrofuose (char tipas).
-
Silke gavo reakciją nuo Andrejus 10 Bitcoin konkurentų
Bitcoin nėra centralizuotas, tu niekur neregistruoji. Gali tiesiog parsisiųsti softą, pasileisti – štai ir yra tavo piniginė (paprasčiausias failas tavo kompiuteryje). Ir kokį priminimą čia gali gauti, jei tą failą ėmei ir ištrynei? :) Pasidaryk kelis backupus ir neprarasi...
Aišku, yra online piniginių servisų – ten jau gali turėti tą priminimą (ir apskritai, viso tinklalapio į šiukšlyną neįmesi). Bet vėl, trade-off'ai: tinklalapį gali apvogti, ir pan. :) Na, aišku, ir tavo kompą gali...
-
Silke sureagavo į dEVooX C# pagalbos
Yra toks
SELECT LAST_INSERT_ID()
jeigu tas "id" laukas yra AUTO_INCREMENT.
Beje, INSERTui ne readeri naudok, o paprasta ExecuteSQL() metoda.
-
Silke gavo reakciją nuo TheLightning Mysql column klaida
NE.
Baisu. Išnagrinėkim po vieną funkciją.
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.
-
Silke gavo reakciją nuo TheLightning Mysql column klaida
NE.
Baisu. Išnagrinėkim po vieną funkciją.
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.
-
Silke gavo reakciją nuo TheLightning Mysql column klaida
NE.
Baisu. Išnagrinėkim po vieną funkciją.
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.
-
Silke gavo reakciją nuo TheLightning Mysql column klaida
NE.
Baisu. Išnagrinėkim po vieną funkciją.
htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.
str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.
trim – ok.
real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.
strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...
Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.
Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.
-
Silke sureagavo į vitalikaz Mysql column klaida
Tipinė XSS spraga. Kai išvedinėji turinį iš duomenų bazės, išvedinėk ne
echo $turinys;
, bet
echo htmlspecialchars($turinys);
Funkcija pakeis visokius <, >, ' ir kitus spec. ženklus jų atitinkamais HTML kodais, ir jie bus atvaizduojami korektiškai. Output'ą visada reikia labai kruopščiai filtruoti. Kaip ir input'ą. Prašom užeiti čia.
-
Silke sureagavo į ModestasV klausimas programuotojams
Vien tik minusai.
Duomenų bazė tam ir sukurta, kad nereiktų krauti visko į .txt failus.
-
Silke sureagavo į madafakas Facebook'as keičia like ir share mygtukų dizainą
Vargolio paradoksas: per 2s perskaito temos antraštę ir nusprendžia, kad jam neįdomu. Tada visgi įsijungia temą/straipsnį ir dvi minutes kurpia komentarą apie tai, kaip tai neverta jo dėmesio.
-
-
Silke gavo reakciją nuo synkas PHP + SQL - Neteisingas filtravimas
TheLightning ir choosea pasakė tiesą, tik dėl dievo meilės, nenaudok ext/mysql ir nekišk kintamųjų tiesiai į užklausą (kaip parašė TheLightning). Siaubinga. Skylė.
-
Silke gavo reakciją nuo Bitro SQL unikalus įrašas
Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(
-
Silke sureagavo į choosea PHP + SQL - Neteisingas filtravimas
tai tarp sql uzklausos idek menesio kintamaji su where.
esme ta kad uzklausoje nera nurodyta kurio menesio info ismesti todel ismeta visus menesius
-
Silke gavo reakciją nuo Bitro SQL unikalus įrašas
Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(
-
Silke gavo reakciją nuo mendinskis Vienodu masyvo nariu tikrinimas
Jei čia norėjai priskirti vieną elementą kitam, tai neteisingai – čia priskiri tik vieno pavadinimą kitam. Reiktų K = K[j].
Aišku, tai nepašalina visiškai, nes dabar tiesiog turėsi du vienodus. :) Šalinimas yra toks:
n - elementų kiekis, s - šalinamas elementas a) kai tvarka nesvarbi: K[s] = K[n]; n-- (paskutinį perkeli į šalinamo vietą, vienu elementu sumažėja) b) kai tvarka svarbi: for (int i = s; i < n-1; i++) { K[i] = K[i+1] }; n--; (visus elementus, pradedant nuo šalinamo, perrašo elementais, esančiais viena pozicija toliau, vienu elementu sumažėja)
-
Silke gavo reakciją nuo synkas SQL unikalus įrašas
Nenaudok ext/mysql.
+ Manau, turėsi race condition (jei tik būsi bent tiek populiarus, kad du vartotojai vienu metu registruotųsi):
PHP procesai: A ir B Vartotojai: 1 ir 2 Dabartinis ID: 314 1 ir 2 nori užsiregistruoti tuo pačiu metu. A paima 1-am ID 315 B paima 2-am ID 315 A siunčia užklausą, bandydamas įrašyti USER315 B siunčia užklausą, bandydamas įrašyti USER315 KABOOM.
-
Silke gavo reakciją nuo Bitro SQL unikalus įrašas
Į primary key vargu, ar įkiši NULL.
Ir...
mysql_query
mysql_query
mysql_query
mysql_query :(