From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 13 Jul 2007 11:59:55 +0300 From: Michael Shigorin To: ALT Devel discussion list Message-ID: <20070713085955.GW9433@osdn.org.ua> Mail-Followup-To: ALT Devel discussion list References: <20070712111909.C16491BF4081@ssh.git.local.altlinux.org> <75e139a00707122312n6b871494ld6e3065e45934c71@mail.gmail.com> <20070713140628.00ed9e51.kliden@km.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20070713140628.00ed9e51.kliden@km.ru> User-Agent: Mutt/1.4.2.1i Subject: [devel] =?koi8-r?b?VUE6INDSySDSwdrSwcLP1MvFINPF1MXXz8fPIPDvIF/O?= =?koi8-r?b?wcTPXyDE1c3B1NggX9PQxdLXwV8g0NLPIMLF2s/QwdPOz9PU2CE=?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 13 Jul 2007 08:55:27 -0000 Archived-At: List-Archive: List-Post: On Fri, Jul 13, 2007 at 02:06:28PM +0600, Denis Klimov wrote: > > Вы используете в SQL-запросе данные, полученные от > > пользователя, при этом не проверяя их!!! > > Немного по теме: ru.wikipedia.org/wiki/Инъекция_SQL > Да, я знаю об этом, пока я хочу сначала реализовать основные > функции биллинга, а уже потом, к релизу, добавить подобные > проверки. Если бы так строили автомобили, то некоторые об отсутствии тормозов узнавали бы только купив "рабочую" машину и подъезжая к перекрёстку. Денис, не надо плодить код, который не продуман хотя бы по уже известным Вам проблемам безопасности _заранее_. Вы очень обяжете этим как админов, которым с ним работать (if any), так и репутацию команды. > Если у кого то возникнет желаение закодить это раньше - > смержу его коммиты. Но все равно спасибо. Поверьте на слово, с таким отношением проще попасть в чей-нить чёрный список "эти пакеты не устанавливаются в принципе или без ручной проверки/пересборки". К сожалению, такие списки у ряда участников команды и системных администраторов существуют и не от хорошей жизни. Например, от автора phpNuke код я не приму на хостинг ни за какие коврижки, потому что он сперва лепил функциональность на скору коленку, а вот о безопасности задумался не тогда, когда можно было сдизайнить общий слой фильтрации запросов, которые идут к базе, а тогда, когда было проще выкинуть всю эту бодягу и всем, кто её упоминал, выливать на голову ведёрко холодной воды. Вы ж не хотите прослыть таким "разработчиком", надеюсь? PS: вообще блажь писать веб-интерфейсы на C должна быть очень сильно обоснована как требованиями к характеристикам, так и уже наличествующей квалификацией разработчика. Пишите лучше на перле или хотя бы поищите библиотеки для cgi processing и sql input sanitization, никакого смысла топтать все грабли самостоятельно здесь нет. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/