[BlueNosE]

ציטוט:

נכתב במקור על ידי MasterT

וכשהמנהל מעוניין שיוכל למנות צוות כתבים/עוזרים? כיצד תריץ את הסינון המתאים?

עדיין, אבל אם מישהו "נתן למנהל את האקדח ואמר לו לכוון לרגל וללחוץ"?

ובמידה והוא רצה לעשות בכותרת, "החיים <הם> טובים", וזה יסתיר את ה"<המ>"?

אני אומר, אם בשביל עוד 10 אלפיות שניה(/מאית) אני בטוח מכל הכיוונים - לא אכפת לי להוסיף את המאית הזאת, ואי אפשר לדעת, לעשות כל פעם mysql_real_escape_string, htmlspecialchars, intval - אולי המשקל שאתה מוסיף, שזה עוד 60 בייטים! אחרי שאתה מוסיף את זה בקובץ מספיק, בגלל הנפח הגדול(אם יש 20 ערכים שאתה עושה להם את זה), זה כבר 1200 בייטים! שזה יותר מקילובייט! ואז לשרת יקח יותר זמן לעבד את זה!

בכל דבר אתה יכול להגזים, אבל אם אומרים לי, "אנחנו לוקחים מאית כל פעם ומבטיחים הגנה מלאה" - אני לוקח. ואני יודע, לעומת המתכנתים שבפורום שעושים את הדברים הבאים.
1. עושים אם יש בכתובת/בדבר הנשלח SELECT, DELETE, או UNION - נותן באן.
למה לא טוב? שלחתי בהודעה בטעות SELECT/DELETE, האתר המתחרה בכוונה נותן קישור לדף עם SELECT בכתובת כדי שלא יוכלו להיכנס, בסוף יהיו פקודות חדשות
2. str_replace("<script"), mysql_real_escape_string כדי למנוע ג'אווה סקריפט - קל מאוד מאוד לעקוף את זה.

ואני יכול לתת עוד דוגמאות להרגלים לא נכונים לטעמי, שלא נדבר שזמן הטעינה שלהם לרוב רב יותר - הדרך שלי אומרת ככה. לא מעניין אותי מה יכניסו לי - לא יכניסו נכון? לא יקבלו תוצאות.

הפעם היחידה שאני עושה סינון, זה ב-htaccess - אבל זה רק למען הנוחות. אני עובד עם htaccess באופן מלא.

תחליט אתה, מאית שניה ואבטחה מלאה או לא?

כמו כן, בגלל שרוב ה"מתכנתים" כאן ישתמשו במערכים של קלט מהמשתמש בלי בדיקת isset, ואם הם שומרים USER_AGENT / HTTP_REFERER בלי שום סינון, ואם הם מסתמכים על $_SERVER["HTTP_X_FORWARDED_FOR"] בשביל לגלות IP, בסופו של דבר, יחסית לרוב ה"מתכנתים" בהוסטס - השיטה שלי יותר יעילה - והרבה יותר בטוחה.

יחסית למתכנתים מחוץ לבועה - חלק חלק, אבל אם אתה שואל את עצמך, האם תקריב מאית שניה בשביל 100% אבטחה, אני מנחש שתענה כן?

אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.

[Daniel]

ציטוט:

נכתב במקור על ידי BlueNosE

אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.

אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?

[BlueNosE]

ציטוט:

נכתב במקור על ידי MasterT

אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?

אני אתחיל מזה שאין מצב שאני קורא למשתנה לא מאובטח.
עם המחלקת FETCH שהכנתי, אני פשוט יודע אם אני צריך להשתמש בSECURE (פונקצית מחלקה) או לא. זה לא מסבך כ"כ: או secure($val) או the($val).

עכשיו, שכחתי לציין משהו.
אתה באמת חושב שמתפקידי לסנן JS מאתר מסויים?
אתה באמת חושב שזו תהיה בקשה הגיונית מלקוח לא לתת לאנשים להכניס JS או CSS לקוד?
ומה אם הם ישימו IFRAME או סתם ימתחו את העמוד יותר מדי? את כל זה תסנן?
צריך שיהיה להם איך להכניס HTML. עכשיו אם מה שיעשה את בעל האתר רגוע זה סינון SCRIPT, אני אסנן. אבל זאת ממש לא הגנה, ואני לא רואה בעיה בלסמוך על אנשים.