Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость криста…Рады представить вашему вниманию магазин, который уже удивил своим качеством!
И продолжаем радовать всех!
Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!
Такого как у нас не найдете нигде!
Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!
Наши контакты:
ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!
Облако тегов:
Купить | закладки | телеграм | скорость | соль | кристаллы | a29 | a-pvp | MDPV| 3md | мука мефедрон | миф | мяу-мяу | 4mmc | амфетамин | фен | экстази | XTC | MDMA | pills | героин | хмурый | метадон | мёд | гашиш | шишки | бошки | гидропоника | опий | ханка | спайс | микс | россыпь | бошки, haze, гарик, гаш | реагент | MDA | лирика | кокаин (VHQ, HQ, MQ, первый, орех), | марки | легал | героин и метадон (хмурый, гера, гречка, мёд, мясо) | амфетамин (фен, амф, порох, кеды) | 24/7 | автопродажи | бот | сайт | форум | онлайн | проверенные | наркотики | грибы | план | КОКАИН | HQ | MQ |купить | мефедрон (меф, мяу-мяу) | фен, амфетамин | ск, скорость кристаллы | гашиш, шишки, бошки | лсд | мдма, экстази | vhq, mq | москва кокаин | героин | метадон | alpha-pvp | рибы (психоделики), экстази (MDMA, ext, круглые, диски, таблы) | хмурый | мёд | эйфория
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма
Вы делаете раз за разом категоричные заявления, но не приедите аргументов. Я понимаю про устаревшесть, пдо и все такое, но объясните мне, почему недостаточно эскейпить все входные данные от пользователя и каким образом при правильно настроенных кодировках эта функция может стать причиной дыры в безопасности. Для защиты от инъекций надо применять те инструменты, которые для этого предназначены, а не случайно взятую с потолка функцию, которая может случайно 1 раз сработать. Самая большая проблема здесь в том, что средний пользователь похапе воображает, будто SQL инъекция — это когда некий злодей Волдеморт водит волшебной палочкой и говорит заклинания. И чтобы от нее защититься, надо тоже поводить своей палочкой туда-сюда. А эскейпинг как раз и является такой палочкой. А если хоть раз в жизни дать себе труд задуматься, что такое инъекция и что делает эскейпинг, то сразу станет понятно что его тупо в одних случаях недостаточно, а в других он неприменим вовсе. А 'эскейпить все входные данные от пользователя' это уже совсем дно. Когда-то в ПХП была такая функция, 'волшебные кавычки' называлась. Но уже 10 лет назад её с ужасом и стыдом из языка выпилили. Опять же, надо дать себе труд задуматься — что с ней было не так. Помимо того, что эскейпинг сам по себе не имеет отношения к инъекциям, тут у нас еще одна черная дыра глупости — 'входные данные от пользователя'. Если спросить среднего похапешника, какие данные входят от пользователя, аакие нет, волосы встанут дыбом. Так что если доверить этому похапешнику решать, какие данные надо защищать и когда, то проще пароль от базы данных сразу написать на главной странице сайта. По этой ссылке написано, что Данное расширение устарело, начиная с версии PHP 5. В актуальной документации этой ереси нет. По этой ссылке можно увидеть корректные формулировки, бреда про 'обезопасить данные' там нет. Там написано 'можно использовать в SQL выражениях'. Может все-таки как-то проаргументируете свои мысли? Ну вот, к примеру, такой неприятный пример, как можно сделать в нем sql-инъекцию? Не уходим от темы. Вопрос ко мне был, 'можно ли использовать эту функцию для защиты от инъекций'. По ссылке выше не написано, что можно. Вообще ни одного слова про инъекцию. Дружище, это уже совсем за гранью добра и зла и формальной логики. В описании функций strlen, htmlspecialchars, empty, intval, urlencode, sort, header тоже не написано , что их нельзя применять для защиты от инъекций. Cогласно вашей логике получается что можно? Потому что эта функция для этого никаким боком не предназначена. По своему прямому назначению ее применять можно. Для защиты от инъекций — нельзя. Давайте я вам еще раз попробую объяснить. Не бывает никаких абстрактных 'данных', которые можно волшебным образом 'обезопасить'. Этот бред действительно был когда-то написан в документации, но люди делятся на тех, кто умеет извлекать уроки из ошибок прошлого, и тех кто предпочитает не считать их ошибками. Волшебной функции для защиты от инъекций вообще в природе не существует. Не существует волшебной палочки, которая защитит любые абстрактные данные от любой абстрактной инъекции. Как только вы избавитесь от этой иллюзии дело сразу пойдет легче. Я не предлагаю принять на веру. Я предлагаю принять на логику. Я вам привел железобетонный логический аргумент: Этого уже должно быть достаточно. Если в каком-то отдельно взятом случае эта функция случайно помогла, это не значит, что ее предназначение именно в защите от инъекций. По той причине, что она, в качестве побочного эффекта, защищает от инъекций только строковые литералы. Для всех остальных элементов запроса она бесполезна, и ее использование приведет к инъекции. Именно по этой причине её категорически нельзя использовать для защиты. Если можешь назвать хоть один, то он подойдет. Напиши на бумажке SQL запрос, и выбери любую его часть, которая не строковый литерал. Если назовешь хоть одну причину, по которой я должен это сделать, то так и быть, я разжую тебе даже это. И именно поэтому ты поднял топик многолетней давности, ага: Логика это явно твоя сильная сторона. На самом деле я тебе ответил. С превеликим трудом мы уже смогли осилить тот факт, что эскейпинг помогает только строкам в качестве побочного эффекта , и бесполезен для любых других элементов запроса. Но беда в том, что все эти термины для тебя — пустой звук, абстракция. Чтобы понять ответ на вопрос, надо заранее знать половину ответа. Для тебя же 'строки', 'инъекция' и 'эскейпинг' — это абстрактные понятия, не имеющие физического смысла. Когда-то в далеком детстве ты прочитал сказку, что 'инъекция' — это злой Кащей Бессмертный, а 'эскейпинг' — это молодцеватый Илья-муромец, который разит супостата прямо в темечко. На таком уровне я действительно не готов объяснять, извини. Попробуй самостоятельно найти хотя бы один пример инъекции и разобраться как она работает. Понять чем отличается строковый литерал от идентификатора в SQL. Чем конкретно занимается пресловутый искейпинг, и зачем. После того как разговор перейдет для тебя из мифологической в практическую плоскость, можно будет продолжить. Если же тебе лень это делать то придется принимать на веру, точно также как ты когда-то принял на веру бред про 'обезопасить данные'. Я что-то подобное и подозревал. Данное предубеждение мешает тебе воспринимать информацию. То есть ты сам же себе мешаешь. Вот такого рода комментарий, демонстрирующий хоть какое-то шевеление на том конце, является куда более конструктивным способом ведения дискуссии, чем однообразное повторение 'дядь, покажи фокус'. Я если я тебе покажу инъекцию, она все равно останется на уровне фокуса. А мне интересно чтобы ты понял и сам мог объяснить. Твой прогресс просто потрясает воображение. Ты бы, конечно, мог прийти к этому выводу и раньше, если бы прочитал статью, которую комментируешь — в ней этот пример как раз присутствует. Кстати, если осилишь еще и комментарии к ней, то получишь ответ и на свой предыдущий вопрос. Ради бога, ты можешь воображать все что тебе угодно: Твоя убежденность в собственной правоте умиляет не меньше, чем твоя убежденность в том, что кому-то интересно твое мнение: Мне тебя немного жаль, конечно, но почему я должен при этом хлопать дверью, не очень понятно. Впрочем, тема дверей мне уже не настолько интересна. Будут еще вопросы по базам данных — обращайся, я всегда помогу! Хабр Geektimes Тостер Мой круг Фрилансим. Публикации Пользователи Хабы Компании Песочница. SQL injection для начинающих. Часть 1 Информационная безопасность Приветствую тебя, читатель. Последнее время, я увлекаюсь Web-безопасностью, да и в какой-то степени работа связана с этим. Статья будет рассчитана на тех, кто не сталкивался с подобным, но хотел бы научиться. В сети относительно много статей на данную тематику, но для начинающих они немного сложные. Я постараюсь описать всё понятным языком и подробными примерами. Предисловие Для того, чтобы понять данную статью, вам не особо понадобится знания SQL-языка, а хотя бы наличие хорошего терпения и немного мозгов — для запоминания. Я считаю, что одного прочтения статьи будет мало, так как нам нужны живые примеры — как известно практика, в процессе запоминания, не бывает лишней. Поэтому мы будем писать уязвимые скрипты и тренироваться на них. Что же такое SQL инъекция? Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Отец, написал в записке маме, чтобы она дала Васе рублей и положил её на стол. Переработав это в шуточный SQL язык, мы получим: Вот простой пример SQL инъекции из жизни: Не фильтруя данные Мама еле разобрала почерк , Петя добился профита. Подготовка Для практики, Вам понадобится архив с исходными скриптами данной статьи. Скачайте его и распакуйте на сервере. Также импортируйте базу данных и установите данные в файле cfg. Самая распространенная ошибка — это не фильтрация передаваемого ID. Ну грубо говоря подставлять во все поля кавычки. Числовой входящий параметр Для практики нам понадобится скрипт index1. Как я уже говорил выше, подставляем кавычки в ID новости. SQL инъекции здесь нет — Фильтруются кавычки, или просто стоит преобразование в int 2. Если все же ошибку вывело — Ура! Мы нашли первый вид SQL инъекции — Числовой входящий параметр. Строковой входящий параметр Запросы будем посылать на index2. В данном файле, запрос имеет вид: Опять посылаем запрос с кавычкой: Для начала нам хватит — приступим к практике. Приступаем к действиям Немного теории Наверно Вам уже не терпится извлечь что-то из этого, кроме ошибок. Для начала усвойте, что знак ' -- ' считается комментарием в языке SQL. Перед и после него обязательно должны стоять пробелы. Можете попробовать это на скрипте index2. То есть для того, чтобы вытащить что-то нам нужное из другой таблицы. Вернемся к скрипту index1. Запрос к БД у нас получается вот таким: Подбираем количество полей Подбор полей делается очень просто, достаточно посылать такие запросы: Значит количество столбцов равно 5. Вывод данных Допустим мы знаем, что еще существует таблица users в которой существуют поля id , name и pass. Запись файлов На самом деле всё очень просто. Таким образом, Мы можем залить мини-шелл: Способы защиты Защититься еще проще, чем использовать уязвимость. Защищаться использованием PDO или prepared statements. Во второй мы рассмотрим более тяжелые примеры инъекций. Пробуйте сами писать уязвимые скрипты и выполнять запросы. И запомните, не доверяйте ни одному пользователю Вашего сайта. Управляйте расходами на IT-инфраструктуру. Оплачивайте только нужные объёмы вычислительных ресурсов. И как это сделать? Наши с вами персональные данные по-прежнему нагло продаются 37k TopInt Возможна удаленная работа. Специалист направления 'Безопасность веб-приложений'. Riateche 20 июля в Проверка почерка — это не фильтрация данных. Фильтрация данных относится к подстановкам в запрос placeholders , а не к целому запросу. Не будете же вы брать запрос целиком из ввода пользователя. К тому же статья содержит большое количество грамматических ошибок. В общем, мне не понравилось. AlexanderPHP 20 июля в При чем тут локалхост и боевые скрипты? У вас написано как-то так: PDO на это есть и prepared statements, привыкайте, что ли к цивилизованным методам. Вы меня тоже извиняйте, но я просто дал совет опять же новичкам. В своих проектах я всегда использую Active records, и практически не задумываюсь. Так это прекрасно, что используете, но новичков-то зачем плохому учить? Никогда не задумывался, что можно лучше. А я так понимаю можно? Но чем оно лучше? BlessMaster 23 июля в В итоге меньше кода не надо никаких монстров экранирования и конкатенаций , всё чище и логичней, работа идёт быстрей и не будет очень неприятных сюрпризов в будущем где там у какого поля тип поменялся — перепиши все запросы, где спешили и забыли заэкранировать — слили базу паролей. Быстрей нам надо, очень надо. Хотя последовательных запросов не бывает вообще. BlessMaster 24 июля в FanatPHP 25 июля в Первая чисто теоретическая — РНР-тим забил на эту либу и не хочет ее поддерживать. Вторая заключается в том, что в коде не должно быть вызовов голого API. А должны быть — как совершенно правильно сделано у вас — вызовы функции- надстройки. Единственно что, вместо ручной обработки передаваемых данных, лучше использовать автоматическую, с помощью плейсхолдеров: Чем сложнее инструменты используются для объяснения, тем больше объяснять нужно. Хотя, с другой стороны, тема требует наличия специальных навыков. Тут даже выигрыша в объеме кода нет по сравнению с PDO, не понимаю, какой может быть смысл их использовать, кроме того, что кому-то лень выучить что-то другое. VolCh 21 июля в Выигрыш по потребляемым ресурсам скорости, памяти , т. Если разобраться, то я, например, так или иначе всё равно пользуюсь объектными обёртками. Rhaps 21 июля в В нём есть какие-то известные уязвимости? Rhaps 25 июля в Ну так ресурсу же это тоже надо сказать: Так что абсолютное большинство пользуется этой функцией совершенно без малейшей пользы: И мы бы давно сидели по уши в инъекциях, если бы эта уязвимость не работала только для ооочень экзотических кодировок. Rhaps 26 июля в FanatPHP 26 июля в In some cases the escape process can be abused to execute exploits! SQL Injection is once again possible!!! Как я понял проблема заключается в том, что ф-ции экранирования не совсем корректно работают с мультибайтовыми строками. Вы бы хоть попробовали сначала, прежде чем писать. Умозаключения — это всегда хорошо. Но их обязательно проверять надо: Вы нашли эту статью? Это совсем не так сложно. Зато сразу снимет кучу вопросов и неверных догадок: НЛО прилетело и опубликовало эту надпись здесь. Потому что подобный стиль может привести к тому, что рано или поздно забудешь заискэйпить. Я поэтому стараюсь использовать шаблонизаторы — как-то раз забыл написать htmlspecialchars и было очень больно. Эабыл — не аргумент! VolCh 22 июля в А вы уверены что не забудите биндить в PDO? Так можно про все сказать. Если не забиндить — работать не будет. А если не заэскейпить — внешне не заметно, что что-то не так. До одного прекрасного момента в идеале — до аудита кода, но в жизни обычно бывает очень не идеально. На самом деле и забывать-то не обязательно. Достаточно забыть или не иметь возможности выполнить вторую часть заклинания — поставить по краям переменной кавычки — без которой карета, увы, тут же превращается в тыкву… Главная проблема этой строчки — непонимание её смысла. А слухи — плохой аргумент. Если что, эта функция вызывает встроенные в драйвер mysql защиты от инъекций, а не пхп-шные методы, поэтому никакого ужаса нет, а очень даже большая польза. Если что, эта функция не имеет никакого отношения к защите от инъекций: FanatPHP 28 июля в Могу, но речь не о них. Будем считать, что нет. Речь не о каком-то частном примере, а о понимании. Часть защиты от инъекции — экранирование данных. Теперь осталось совсем чуть чуть: И какие бывают случаи, когда она применяться не должна. А ПДО, кстати, тоже совсем недостаточна для защиты от инъекций. В более-менее сложных запросах. FanatPHP 29 июля в Я настаиваю на том, что функция искейпинга не должна применяться в контексте защиты от инъекций! Если это происходит, то инъекция будет гарантирована, рано или поздно. TheShock 21 марта в FanatPHP 26 марта в Потому что эскейпинг не предназначен для защиты от инъекций. TheShock 26 марта в Простите, я давно не занимался серьезным серверным программированием, а когда и занимался — пользовал плейсхолеры. Можно, пожалуйста, поменьше эмоций и чуть больше фактов? Эта функция должна всегда за несколькими исключениями использоваться для того, чтобы обезопасить данные , вставляемые в запрос перед отправкой его в MySQL. То есть вы противоречите официальной документации PHP. Но и не написано, что нельзя. Просто написано, что данные можно вставлять в запрос, нигде не написано ни о какой опасности. Это как раз вы уходите от темы. Я вам задал вполне конкретный вопрос — почему недостаточно заэскейпить? Давайте я задам вам вопрос иначе. Если нету — так и скажите. Просто написано, что данные можно вставлять в запрос, Там нету слова 'данные'. Нельзя потому что нельзя. Давайте я еще раз переформулирую. Он у меня просто не очень прогрессивный и ему сложно даются новые технологии. Так расскажите мне риски, пожалуйста, я хочу их оценить. Я ничего такого не писал. Не надо перевирать мои слова. Это ведь просто строки, там нет никакой магии и никакой магии не нужно, чтобы сдержать инъекции. Вы просто ожидаете, что я приму это на веру, но почему? Если это — ошибка, если приводит к каким-то проблемам, то будьте любезны — объясните, к каким проблемам может привести эта ошибка. В чем, сообственно, ошибка заключается? Это ведь просто строки Не только строки. VolCh 27 марта в TheShock 27 марта в FanatPHP 4 мая в TheShock 4 мая в Для всех остальных элементов запроса Например, каких? Зададим тебе это в качестве домашнего задания: Я откуда знаю, почему ты снова поднял топик полуторамесячной давности. Это твоя главная проблема. По ошибке увы, не заметил, что он стар 2. Потому что не знал и так и не узнал ответ на вопрос Мои причины вполне логичны и я их могу назвать. А зачем вы подняли устаревший топик, если до сих пор не можете дать ответ на простой вопрос? На самом деле я тебе ответил Я повторю, возможно переформулировав, вопрос. Максимально кратко, если не доходит: Все остальное твое самолюбование не имеет никакого смысла. Увы, ты не читаешь то, что я так талантливо и образно формулирую. Это пустая трата времени: А, так это ты для меня писал? Я думал, что это был просто самовосхваляющий монолог. Информацию о твоем самомнении я воспринял прекрасно. You cannot search with a prepared statement This fails: TheShock 5 мая в Если человеку необходимо будет так вставить название поля — ему все-равно придется как-то это сделать я, правда, не представляю, кто может в качестве названия поля напрямую вставлять ввод пользователя, но это уже детали. Кстати, на счет фокусов. Я тут прочитал еще раз топик и увидел, что вы начинаете путаться в своих показаниях. Вот тут вы говорите, что она защищает строковые литералы: А вот тут, что не защищает: FanatPHP Могу, но речь не о них. Хотя я, кажется, начинаю понимать, что вы имели ввиду. Что иногда можно вставить в запрос даже заэскейпленные данные и они не защищат от инъекции. FanatPHP 5 мая в Я так и думал, что ты сольешься, когда я предоставлю шанс. Оказывается, что эта функция таки защищает от инъекций, если не делать очевидных глупостей. FanatPHP 6 мая в TheShock 6 мая в Пусть есть ошибки, пусть примеры не очень корректны. Вот мне, человеку озабоченному вопросами безопасности своих сайтов, эта статья очень полезна. Я, конечно, наслышан что такое SQL-иньекции, как с ними можно бороться, но конкретных примеров инъекций не разбирал. А тут все показали на пальцах. Соответственно, мне как НЕ специалисту в вопросах безопастности для общего развития стало это очень полезно. Ну и для практического применения тоже. Надеюсь, что цикл статей продолжится и я научусь еще более эффективно защищать свои программы. И еще хотелось бы чтобы автор в следующих публикациях уделил время разбору методов борьбы с такими вот штуками. Он конечно говорит что нужно использовать фильтрацию и т. Но мне бы хотелось услышать эти вещи именно от этого автора. Чтобы подробнее были разобраны методы фильтрации. Не нужно никакой фильтрации. Нужно всегда соблюдать всего два правила: Больше ничего не нужно, никакой фильтрации. Можно лишь добавить, что плейсхолдеры могут использоваться либо родные — от БД, либо самодельные. В последнем случае наш парсер должен знать тип подставляемых данных, и корректно их отформатировать. Это обжовывалось раз. Если Вы это знаете — то хорошо. Mirrage, а вы новичок в этом деле? Прочтите внимательнее, в заголовке написано '… для начинающих'. Поэтому, мне кажется, чтобы объективно рассуждать о чем статья или не о чем, надо быть для начала новичком! Я вот новичок, и мне статья очень понравилась! Вы хотите сказать, что разрабатывали что-то не зная про SQL инъекции? Justi 20 июля в Artima 21 июля в JustLuckyGuy 20 июля в И знаю как с ними бороться. Но конкретных примеров не разбирал. А тут мне на пальцах показали как это выглядит изнутри. Разве что совсем простые примеры. Тут мне показали как это можно использовать. И так понял что в дальнейшем автор планирует показать более сложные примеры. А автор мне показал. Теперь буду знать врага в лицо. InSys 20 июля в Уважаемый AlexanderPHP , а вам не стыдно? Мне одному кажется что это сжатый и немного измененый пересказ уже существующей статьи датированной годом? Причем очень много чего в этих статьях схожего. Ни Ваша статья, ни приведенная статья по ссылке не научит правильно обнаруживать и раскручивать SQL иньекции. Хотя, признаюсь, много чего почерпнул когда то из последней статьи. К примеру пытаться обнаруживать иньекции только по наличию ошибок — бред. InSys, спасибо, будет что еще почитать. Всё писалось из головы. Даже примеры вообщем то совпадают. Не верю с Станиславский. Это тоже самое, что Hello world, в разных учебниках. Вам совсем необязательно что-то кому-то доказывать. Просто у людей сложилось мнение о Вас лично. Придраться можно к чему либо. Правильно Вы сказали — что нет смысла оправдываться. Самому себе, мне нет смысла врать. В Яндексе все такие клевые? Seekeer 21 июля в Namolem 19 декабря в Seekeer 19 декабря в С точки зрения формальной логики — да, правильный. С точки зрения бытовой — не очень. Так как мы не можем повлиять на их количество в первом запросе, то нам нужно подобрать их количество во втором к первому. Пример со сто рублями передран и немного переделан. Используется таже таблица news… Продолжать? И тут приходите вы, и пытаетесь выдать чужое за свое…. Более ничего Вам доказывать не буду. Не вижу смысла мне врать. Ну конечно, уже что-то доказывать смысла нет. Возьмите, да добавьте в статью ссылки на используемые материалы. Не стройте из себя гения который сам всему научился и все знает, вот и вся проблема. Ага, у него ЧСВ over Мне кажется вам стоило больше уделить защите от SQL инъекций. То что вы описали не всегда применимо. Да и фильтрация очень редко закрывает уязвимость. Но вот что делать, если там могут быть и строки? Правильно, в ход идет escape. Поэтому фильтрация должна быть правильная, то есть уместная на каждом участке кода. А то бывает встречаются такие ситуации: Да и по поводу определение колонок методом group by написано не точно. Соискатель как-то присылал ссылку на свою работу в качестве портфолио. С совершенно чудной SQL-injection в форме логина. А вообще это даже грустно. MainNika 20 июля в Встречал забавный случай, на сайте одного из факультетов моего ВУЗа, сейчас именно это уже закрыто: Suvo 21 июля в Я тоже подобное использовал. А там тоже в sql. MainNika 21 июля в Нет, там было что-то такое: Извините, давно на php ничего не писал: Raz0r 20 июля в Пробел должен стоять только после — Отлично, файл у нас записался. Keyten 20 июля в Странно, что никто ещё не вставил картинку про Робина-брось-таблицу: Очень интересно, а зачем SQL-базе команды чтения и записи файлов? Это как раз уязвимое звено. А скрипт, по необходимости, может сам с файлами пообщаться. Уязвимое место — люди, пишущие сей код. А какова функциональность уже другой вопрос. В mssql вообще можно из под sa выполнять команды на машине, и что? InSys 21 июля в Уязвимое место — люди, пишущие сей код Грамотно и емко сказанно. Keyten 21 июля в Ну знаете что, давайте выбросим SELinux, AppArmor, песочницу хрома, из-за которой он считается самым безопасным браузером несмотря на уязвимости. Если у пользовательского скрипта задача только читать, и только из двух таблиц, то ему достаточно соединятся с базой под максимально ограниченными привилениями. Да и про фильтрацию как-то невнятно… фильтровать желательно не только входящие, но и исходящие данные, причем не только по типу, но и по размеру с диапазоном. Отдавать шаблонизатору результат неизвестно какого формата тоже опрометчиво. На то он и шаблонизатор, чтобы всё что нужно заэкранировать. Шаблонизатор обязан получать сырые данные, если мы хотим сделать разделение логики представления данных и логики получения данных. Jakeroid 21 июля в Автор, докажи, что не украл статью с ачата или рдота — напиши продолжение. Sild 21 июля в Я донесу до людей эту долбанную ссылку. Извините за флуд и формат. И с использованием pdo можно наделать подобных дыр, если нет понимания как работают sql-инъекции. Taleisin 10 апреля в FanatPHP 17 апреля в Сейчас Вчера Неделя 9 принципов красоты, простоты и заботы в UX 2,6k 8. Что должна сделать читалка, чтобы вы читали больше? В Госдуму внесен законопроект об автономной работе рунета 51,4k Услуги Реклама Тарифы Контент Семинары.
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма
Как сделать кристалл из соли быстро в домашних условиях
Москва СВАО купить закладку: кокаин, героин, гашиш, спайс, экстази, мефедрон, амфетамин, мдма, шишки и бошки
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма
Sql и php инъекции - купить закладку гашиш, кокаин, амфетамин, экстази, героин, бошки, шишки, мефедрон, метадон, скорость кристаллы, спайс, мдма