Trebuie să desemnați cea mai bună oră pentru a rămâne însărcinată, pentru a evita neglijența, sau pentru a ști dacă sexul cu partenerul dvs. va fi cel mai bun? Anterior, pentru care femeile trebuiau să apeleze la medicul lor pentru o consultație, dar acum au un nou cel mai bun prieten - un smartphone.

În restul anului au apărut o mulțime de suplimente pentru femei, care vă permit să determinați cu ușurință zilele fertile și ora ovulației, precum și să lucrați semne speciale. Krіm tsgogo, duhoarea poate fi bogată în alte funcții. Unul dintre astfel de programe este Glow, la care deja 47 de milioane de femei sunt deja râvnite. Glow vă permite să vorbiți ca starea de spirit a unei femei, precum și frecvența sexului. Zavdyaki la acest addendum, a fost posibil să eliminați aceste fapte despre viața intimă a femeilor din lumea pământească.

Cele mai bune margini pentru femei

1. Nu intim? Conduceți în Canada. Se pare că femeile canadiene fac sex cu 45% mai des, mai puțin decât rata medie.

2. Ale, ai grijă: Canada este un loc de mare îngrijorare. Femeile canadiene pot obține cu 21% mai ușoare, costuri mai mici.

3. De asemenea, australienii fac sex – cu 37% mai mult, programe mai mici decât media.

4. De ce spuneți că și femeile din Australia au șanse mari de a avea succes? Duhoarea este cu 14% mai mare, mai mică în alte coristuvachs.

5. SUA - garne place, a deveni fericit. Femeile americane au cu 16% mai multe șanse de a face sex decât alte femei.

6. Un loc mai bun pentru a deveni fericit? America Latină. Aici, femeile sunt angajate în sex la programe statistice medii cu 4% mai scăzute.

Apetit sexual

1. Apetitul sexual al unei femei depinde de ciclul ei lunar. Prima zi a ciclului este considerată prima zi a menstruației, care durează aproximativ cinci zile. În acest fel, femeile sunt cel mai puțin probabil să facă sex între una și cinci zile pe lună.

2. Multe femei îmi spun despre schimbarea nivelului de energie, sau voi fi în starea de spirit la momentul potrivit și este legat, sună, cu o scădere a poftei sexuale. De asemenea, femeile sunt mai puțin aglomerate în sex, de cele mai multe ori, după menstruație.

3. Majoritatea femeilor încep să facă sex din nou în a 12-a zi a ciclului.

4. Multe femei au act sexual regulat de la 12 la 14 zile ale ciclului. Programul Glow numește aceste zile „apogeul sexualității”.

5. Într-adevăr, femeile se simt cele mai sexy în zilele 13 și 14 ale ciclului lor. Ale axis scho cіkavo: duhoarea nu este obov'yazkovo, în același timp, otrimuyut cel mai bun sex care face plăcere.

6. Majoritatea femeilor se bucură de sex în a 30-a zi rămasă a ciclului lor. Această zi la Glow înseamnă „orgasme maxime”.

Femei fericite

1. Femeile se simt cel mai fericite în a 15-a și a 16-a zi a ciclului lor și, de asemenea, în același timp, dacă au făcut mult sex în zilele următoare.

2. Koristuvachs Glow a înregistrat 7,6 milioane de contacte sexuale în doi ani.

3. Tse înseamnă că fibra pielii este luată de această femeie, ca o strălucire indirectă, care face sex.

4. Înainte de discurs, coristuvachi au vorbit și despre moartea lor de 2 milioane de ori. De asemenea, un plus la ciclurile sexuale și fertilitatea este de 88 de mii de cupluri.

5. Din păcate, după contactele sexuale propriu-zise, ​​femeile sunt complet mulțumite de ele. Fie ca a treia femeie să fie pregătită să treacă mai mult în sex, mai jos în smartphone.

6. Cu toate acestea, înseamnă că două treimi sunt mai deștepți pentru orice sub formă de telefoane, mai puțin în sex.

Vitannia. Numele meu este Sashko Barannik. La Mail.Ru Group, jur pe extensiile web, care sunt formate din 15 spіvrobіtnikіv. Am învățat cum să creăm site-uri web pentru zeci de milioane de coristuvachs și să ne potrivim cu ușurință într-un număr mare de milioane de audiențe zilnice. Eu însumi fac dezvoltare web de aproximativ 20 de ani, iar în restul de 15 ani am lucrat la programare mai important în PHP. Dorind să se poată muta și pidhіd la distribuție pentru întreaga oră, s-au schimbat foarte mult, înțelegerea principalelor ciudatenii și vminnya din ele este acoperită de conceptele cheie ale oricărui retailer.

Pe Internet, puteți găsi o mulțime de articole și ajutor despre siguranță. Cartea Tsya mi-a fost dată pentru a completa raportul, cu laconic și sensibil. Sunt sigur că vă voi ajuta să recunoașteți altele noi și să vă construiți site-urile cu cele mai bune și mai sigure.

PS Cartea lui dovga, căreia traducerea este dată de kіlkom stattami. Otzhe, hai să...

O altă carte despre securitate în PHP?

Există multe modalități de a începe o carte despre securitate în PHP. Păcat, nu le-am citit pe niciuna, așa că va trebui să mă ocup de ele în procesul de scriere. Poate, voi începe de la cele mai elementare și voi înțelege că totul este vizibil.

Dacă aruncați o privire la un program web abstract lansat online de compania X, atunci puteți presupune că acesta va răzbuna o serie de componente, cum ar fi, de exemplu, răi, managerii de construcție ai shodi-ului original. Yaky, de exemplu?

1. Skoda koristuvacham: Eliminarea accesului la e-mail, parole, date personale, detalii card bancar, secrete de afaceri, liste de contacte, istoricul tranzacțiilor și secrete care sunt profund protejate (pe kshtalt de a-ți fi numit câinele Shiny). Vitik tsikh danikh pentru a face rău koristuvachs (persoane private și companii). Nashkodity poate fi, de asemenea, web zastosunki, deci este greșit să zastosovat date similare, iar universitățile, ca victorios să aibă încredere coristuvachiv în interesele lor.
2. Skoda a companiei X însăși: Prin Zbodіyani Korrikovyami, Viplachuvati Compensation, adus la Viplachuvati Compensation, pod, Vittati, Vitratti, Vitradaki, Vitratti, Polonia, L_Kvіdatsіyu Nazvіdkіv, Ship Vitrati, Great Doperts Top manageri, Scho zvіvny Т.

Jur pe aceste două categorii, cele puturoase includ mai multe inexactități, fiind vina sistemului de securitate al add-on-ului web. Toate companiile care au dat peste breșe grave de securitate scriu rapid în comunicate de presă și pe site-uri web, de parcă duhoarea i-ar fi pusă cu evlavie. Deci raju pentru tine, cu inima, ia in considerare importanta acestei probleme, in primul rand, vei incheia cu ea in practica.

Păcat că securitatea alimentară este adesea încălcată în retrospectivă. Este important că este mai important - creați un plus care să răspundă nevoilor coristuvachi, cu un buget și un termen rezonabil. Întregul set de mindfulness a stabilit priorități, dar nu poți ignora întotdeauna siguranța. Cel mai adesea, după amintire, provadzhuyuchi decizii specifice cu privire la ora de expansiune, în cazul în care schimbarea este încă mică.

Securitate secundară - o mare parte din ceea ce este rezultatul programării culturale. Unele programe izbucnesc în transpirație rece când se gândesc la inconsecvență, altele pot trece peste evidenta inconsecvenței până la ora în care pot scoate la iveală ceea ce a stârnit inconsistența. Mіzh tsimi dvoma є programatori bogați, yakі doar znizayut umeri, astfel încât încă nu au mers până la capăt. Este important să înțelegem această lume minunată.

Programele web ale sistemului de securitate Oskіlki sunt vinovate de protejarea coristuvachiv, dacă aveți încredere în serviciile programului, trebuie să cunoașteți cerințele de alimentare:

1. Cine vrea să ne atace?
2. Cum ne pot ataca mirosurile?
3. Cum le putem repara?

Cine vrea să ne atace?

Răspunsul la prima întrebare este și mai simplu: totul și totul. Deci, întreaga lume vrea să te verifice. Copilul cu computerul rozіgnanim, pe ce lansează Kali Linux? Mabut, te atacă. Un bărbat căruia îi place să pună bețe în roți? Poate, după ce a angajat deja pe cineva, te-au atacat. Încrederi în API-ul REST, prin ce mod colectați date? Imovirno, vіn buv a piratat acum o lună pentru a vă trimite date infectate. Navit te pot ataca! De asemenea, nu trebuie să citiți orbește această carte. Vezi despre ce vorbesc. Trebuie să cunosc un programator, care să mă conducă la apă curată, că vikry my shkіdlivі va fi pe plac. Din cealaltă parte, este posibil să te spargă.

Sentimentul de paranoia constă în faptul că ar fi mai ușor să clasificați tot ceea ce are legătură cu suplimentul dvs. web („Koristuvach”, „Hacker”, „Bază de date”, „Intrare inadecvată”, „Manager”, „REST API”. ”), apoi atribuiți o categorie de skin unui index de încredere. Evident, nu se poate avea încredere în Hacker, dar cum rămâne cu Bazi Danyh? „Introducere nepotrivită” i-a luat numele dintr-un motiv, dar veți începe cu adevărat să filtrați postarea de la colegul dvs., eliminând linia Atom de încredere a colegului dvs.?

Cei care sunt serios implicați în răul web zastosunkiv, încep învingători asupra unei astfel de neînțelegeri, adesea atacând mai degrabă decât indignat dzherel danikh, dar având încredere, ca și cum cu o capacitate mai mică de a împerechea un sistem bun de zahistu. Tse nu este o soluție vipadkove: în viața reală, subiecții cu un indice mai mare de încredere solicită mai puțină suspiciune. Pentru mine, în acest caz, vă voi acorda respect pentru analiza programelor.

Să ne întoarcem la baza de date. Presupunând că un hacker poate lua acces la baza de date (și noi, paranoiacii avem întotdeauna voie), atunci nu se poate avea încredere în el. Cele mai multe baze de încredere dodatkiv fără nicio putere. Numele addendumului web arată ca un singur întreg, dar în mijloc este un sistem de patru componente care sunt schimbate de către acestea. Dacă rahuvat toate componentele și ai încredere în ele, atunci dacă unul dintre ele este rău, compromis și totul va fi dezvăluit. Astfel de probleme catastrofale în siguranță nu pot fi depășite cu fraza: „Cum baza este spartă, atunci toți am eșuat”. Poți spune, dar nu este un fapt că ți-e frică, de parcă nu ai avea încredere în bază și nu ai face ca ea!

Cum ne pot ataca mirosurile?

Vіdpovіd pe cealaltă mâncare - terminați lista grozavă. Puteți ataca sunetul, elimina sunetul din componenta skin sau mingea programului web. În esență, programele web pur și simplu procesează datele și le transferă de la lună la lună. Solicitări sursă, baze de date, API-uri, pagini de blog, formulare, cookie-uri, depozite, modificarea mediilor PHP, fișierele de configurare, reconfigurarea fișierelor, navigarea în fișierele PHP pe care le-ați descărcat - toate acestea pot fi potențial infectate cu date pentru încălcarea securității sistemului. De fapt, chiar dacă detaliile nu sunt prezente în mod explicit în codul PHP, care este piratat pentru interogare, atunci, aparent, mirosul va veni sub forma unei „prefăcări cu părul castaniu”. Să presupunem că: a) ați scris un cod PHP aleatoriu; b) nu ați fost evaluat corespunzător și c) reprezentanții organizațiilor criminale nu v-au plătit.

Dacă ați câștigat dzherela danih fără a verifica din nou dacă datele sunt sigure și puterea potrivite pentru victorie, atunci sunteți potențial victorios pentru atac. De asemenea, este necesar să reconsiderați că omiterea datelor este dată datelor, de parcă vă întăriți. Dacă datele nu sunt sparte complet în siguranță pentru a le vedea, atunci veți avea și probleme serioase. Totul poate fi văzut ca reguli pentru PHP „Verificați intrarea; ecran visnovok".

Este evident dzherela danih, yakі mi poate controla yakos. Deci, până la dzherel, poate exista o datorie pentru client. De exemplu, majoritatea programelor recunosc utilizatorii prin atribuirea de ID-uri unice de sesiune, care pot fi stocate în cookie-uri. Ca și cum ați ataca valoarea viitoare a cookie-urilor, vă puteți vedea un alt coristuvach. Și dacă putem schimba faptele riscului asociat cu interferarea sau adăugarea de date, pentru a garanta siguranța fizică a computerului coristuvachas, nu suntem în pericol. Nu putem garanta că escrocii vor recunoaște „123456” ca o parolă goală după „parolă”. Picantul lui Dodatkov este dat de faptul că ficatul de astăzi nu este singurul fel de adunare pe partea coristuvachului.

Un alt risc, care adesea nu este luat până la respect, merită integritatea codului de ieșire. PHP devine din ce în ce mai popular în dezvoltarea de suplimente bazate pe un număr mare de biblioteci, module și pachete pentru framework-uri slab legate. Mulți dintre ei sunt interesați de depozite uriașe, cum ar fi Github, în ​​spatele instalatorilor de pachete suplimentari precum Composer și, de asemenea, însoțitorul web Packagist.org. Prin urmare, securitatea codului de ieșire ar trebui să fie stocată în securitatea tuturor serviciilor și componentelor terților. Dacă există compromisuri Github, atunci, mai bine pentru toate, vor exista hack-uri pentru distribuirea codului cu un pic de supliment. Ca și Packagist.org - un atacator poate redirecționa cererile de pachete către propriile pachete.

Astăzi, Composer și Packagist.org sunt timizi până la punctul de prostie în depozitele desemnate și distribuția pachetelor, prin urmare, verificați întotdeauna toate opțiunile într-un mod funcțional și uitați-vă la dzherelo otrimannya tuturor pachetelor de pe Packagist.org.

Cum le putem repara?

După ce a spart prin sistemele de securitate cu programe web, puteți fi zavdannya cum să iertați să bezgluzdnosti, așa că i vkrai vitratnym timp de o oră. Este corect să recunoaștem că apendicele web dermică are unele conflicte aici. Motivul este simplu: toate programele oameni timizi, iar oamenii au milă de autorități. Deci іdealna bezpeka - tse nezdіysnenna mrіya. Toate programele pot atenua conflictele, iar sarcina programatorilor - minimiza riscurile.

Ar trebui să vă gândiți de două ori cum să atenuați impactul atacurilor asupra suplimentelor web. În cursul rozpovidi, voi vorbi despre metodele mozhlivі de atacuri. Unele sunt evidente, altele nu. Dar, în orice caz, pentru rezolvarea problemei, este necesar să se țină cont de principiile principale de securitate.

Principii de bază de securitate

În timpul creației, după ce a asigurat protecția eficienței lor, se poate evalua cu ajutorul unui astfel de mirkuvan. Deyakі sugerez deja mai multe.

1. Nu minți pe nimeni și nimic.
2. Rulați întotdeauna cel mai rău scenariu.
3. Plantați un bugatorіvnevy zakhist (Defence-in-Depth).
4. Urmați principiul „cu cât mai simplu, cu atât mai bine” (Keep It Simple Stupid, KISS).
5. Urmați principiul „privilegiilor minime”.
6. Cei care fac răul se uită la ambiguitate.
7. Citiți documentația (RTFM), dar nu aveți încredere în ea în niciun fel.
8. Dacă nu au testat, nu au exersat.
9. Tse zavzhd iertare!

Să trecem pe scurt prin toate punctele.

1. Nu minți pe nimeni sau nimic

După cum am menționat deja mai sus, poziția corectă este să recunoașteți că totul și toți cei cu care interacționează addendumul dvs. web vor să fie rău. În plus, există și alte componente ale ambelor programe, care sunt necesare pentru procesarea cererilor. Toate astea toate. Fără oprire.

2. Retransmite întotdeauna cel mai rău scenariu

O mulțime de sisteme de securitate pot fi capabile să facă față puterii: nu contează, duhoarea bunătății este spartă, pielea poate fi străpunsă. Dacă vizionați vrakhovuvatimete, atunci veți înțelege rapid superioritatea unui alt punct. Concentrarea pe cel mai mare scenariu vă va ajuta să evaluați amploarea și severitatea atacului. Și dacă se dovedește a fi adevărat, atunci, poate, veți putea schimba moștenirea inacceptabilă a excepțiilor aditivilor pentru protecția oamenilor și schimbările în arhitectură. Posibil, soluția tradițională, de parcă ai fi învingător, au înlocuit-o deja cu cea mai bună?

3. Aruncă un bugator_vnevy zakhist (Apărare în profunzime)

Bagatorіvneviy zahist zahist z vіyskovoї nauki, pe care oamenii l-au înțeles de mult timp, scho ziduri numerice, urși cu scârțâituri, echipamente, veste antiglonț și baloane, care acoperă viața organelor importante ale ghicitorilor cultului săbiilor, - pіdhіd corect pentru siguranță. Nu știi cum să nu-l poți apăra pe supraprotejat și este necesar să lucrezi în așa fel încât un șprot al unui zakist gelos să poată plăti nu mai puțin decât pe podea sau ordinul de luptă. Desigur, mai bogat nu mai puțin în vederi solitare. Arată-ți atacatorul, ca o urcare pe zidul de mijloc gigantic cu adunări și dezvăluind că în spatele lui se află un alt zid, stelele lui împrăștiate cu săgeți. Hackerii vor simți la fel.

4. Keep It Simple Stupid (Sărut)

Cel mai bun mod de a salva zakhistul este să ierți. Їx doar rozrobljat, vprovadzhuvati, razumіti, vikoristovuvati și testuvati. Simplitatea schimbă numărul de grațieri, stimulează funcționarea corectă a programului și îl face mai ușor de promovat în cea mai pliată și neprietenoasă ascuțire.

5. Respectați principiul „privilegiilor minime”

Participantul skin la schimbul de informații (koristuvach, proces, program) este responsabil pentru mama dreptului de acces, care este necesar pentru îndeplinirea funcțiilor sale.

6. Oamenii răuvoitori se uită la ambiguitate

„Siguranța prin obscuritate” se bazează pe scuza că ești apărătorul victorios A și nu spui nimănui că parcă exersezi și că ești la conducere, ajutându-te cu un rang feeric, atacatorul este acuzat de fiind ruinat. Într-adevăr, oferă doar un mic avantaj. Cel mai adesea, răufăcătorul clădirii ar trebui să fie numărat pe măsură ce intri, pentru asta este necesar să aperi victorios în mod flagrant zakhistul. Liniște, care a primit indignarea celor care au o nevoie obscure de zahist skasovuє pentru zahistul realului, este necesar să se pedepsească în mod special de dragul ușuririi de iluzii.

7. Citiți documentația (RTFM), dar nu aveți încredere în ea

Ajutor pentru PHP - Biblia. Evident, nu a fost scris de monstrul de spaghete zburătoare, așa că în mod formal puteți răzbuna câteva dintre adevăruri, nedolіkіv, greșite și grațieri, până când acestea sunt marcate și nu sunt corectate. Aceiași demni și Stack Overflow.

Specializările de înțelepciune în sfera securității (orientate către PHP și nu numai) dau cunoștințe de vorbire. Cel mai apropiat de Biblie cu securitate în PHP este site-ul OWASP cu propuneri de articole noi, ajutoare și onoruri. Deoarece nu este recomandat să lucrați pe OWASP - nu funcționează!

8. Dacă nu au testat, nu au exersat

Provadzhuyuchi zahistu, ești vinovat că ai scris tot ce este necesar pentru reverificarea testului, care este practicat. În acel număr, știi, ești un hacker, pentru un fel de plâns plângi. Tse mozhe zdatisya se va gândi, dar cunoașterea metodelor de addendum web rău este o practică garna; știi despre posibilitatea inconsecvenței și paranoia ta se va întări. Cu care neobov'yazkovo rozpovidat posіbnik despre un nou podiaku pentru addendumul web rău. Pentru manifestarea zgârceniei limbajului, folosiți instrumentele automate. Uită-te la duhoarea, dar evident nu înlocuiți codul și nu testați manual programul. Cu cât cheltuiți mai multe resurse pentru testare, cu atât mai important va fi suplimentul dvs.

9. Tse zavzhd iertare!

Programatorii au fost avertizați că inconsecvențele din sistemul de securitate vor fi recunoscute de diverse atacuri, iar aceste constatări sunt nesemnificative.

De exemplu, turnurile de date (documentare bună și aspectul răului) sunt adesea văzute ca mici probleme pentru securitate, astfel încât duhoarea nu ar trebui să fie turnată în coristuvachiv fără nicio cale de mijloc. Cu toate acestea, o serie de date despre versiunile software, mutarea fișierelor, extinderea codului de ieșire, logica programului și logica afacerii, structura bazei de date și alte aspecte ale reglajului fin al unui add-on web și operațiunilor interne sunt adesea importante pentru un atac de succes.

În acea oră de atac asupra sistemelor de securitate, există adesea combinații de atacuri. Okremo duhoarea este nesemnificativă, dar în același timp deschid calea altor atacuri. De exemplu, pentru implementarea codului SQL, este necesar să folosiți numele unui anumit koristuvach, deoarece este posibil să luați pentru un atac suplimentar într-o oră (Atacul Timing) împotriva interfeței administrative, în loc de un forță brută mai scumpă și notabilă. În cel mai bun caz, SQL vă permite să implementați un atac XSS asupra unei anumite înregistrări de entitate administrativă, fără a respecta numărul mare de înregistrări suspecte din jurnale.

Nebezpeka іzolovannogo razglyady conflict - amenințări їhnої subestimate și, de asemenea, în nadto bezturbo stavlennі înaintea lor. Programatorii deplâng și corectează inconsecvența, pentru că o respectă pentru ceva nesemnificativ. De asemenea, se practică retraducerea responsabilității pentru dezvoltarea în siguranță a programatorilor la sfârșitul vieții sau a koristuvachiv, în plus, adesea fără a documenta probleme specifice: nu este posibil să recunoaștem motivele acestor inconsecvențe.

Nesemnificația care este dată nu este importantă. Programatorii Bezvіdpovidalno zmushuvat sau koristuvachіv vă corectează inconsecvențele, mai ales că nu ați informat despre ele.

Reverificarea datelor de intrare

Verificarea datelor de intrare este perimetrul exterior al anexei dvs. web. Win protejează logica de bază a afacerii, procesarea datelor și generarea datelor de ieșire. În sens literal, toate pozițiile acestui perimetru, codul criminalității, care a fost fixat de cererea actuală, sunt respectate de teritoriul profetic. Toți cei care pot intra și ieși din perimetru zi și noapte sunt păziți de gărzi războinici, parcă ar fi să tragă în spate, iar apoi să pună mâncare. „Aliații” sunt conectați la perimetru, care sunt bine protejați (și chiar suspectați), inclusiv „Model”, „Bază de date” și „Sistem de fișiere”. Nimeni nu vrea să tragă în ei, dar chiar dacă duhoarea încearcă să obțină o cotă... bang. Aliatul pielii maє svіy vlasny perimetrul, care poate avea încredere sau nu în al nostru.

Amintește-ți cuvintele mele, în cine poți avea încredere? Nimeni și nimic. În lumea PHP, sunetul scârțâit este bucuros să nu aibă încredere în „danim-ul de scurtă durată introdus”. Aceasta este una dintre categoriile pentru doviri egali. Renunțând la faptul că nu poți avea încredere în koristuvachs, ne pasă că poți avea încredere în decizie. Nu e așa. Coristuvachi - datele de intrare dzherelo cel mai evident inadecvat, celor pe care nu le cunoaștem și nu le putem prețui.

Verificați din nou criteriile

Reverificarea datelor de intrare - cea mai evidentă și cea mai puțin importantă apărare a programelor web. Mai important este lupta mai mare prin eșecul sistemului de reverificare, este și mai important pentru aceasta, astfel încât o parte din zakhist a fost corectă. Îmi poți spune, dar totuși, ține pasul cu asemenea mirkuvan. Aveți întotdeauna grijă atunci când implementați validatoare personalizate și biblioteci terță parte pentru validare, că soluțiile terțe pot fi folosite pentru a verifica sarcina principală și pentru a omite procedurile cheie de revalidare, așa cum ar putea avea nevoie de addendumul. Atunci când alegeți biblioteci, recunoscute pentru nevoile de securitate, obov'yazkovo le verifica în mod independent pentru inconsecvența și corectitudinea lucrării. De asemenea, recomand să nu uităm că PHP poate demonstra un comportament minunat și posibil nesigur. Minunați-vă de fund, luând din funcțiile de filtrare:

Filter_var("php://example.org", FILTER_VALIDATE_URL);
Filtru trece fără alimentare. Problema este că acceptarea unei adrese URL php:// poate fi transmisă unei funcții PHP pentru a analiza o anumită adresă HTTP, în loc să o transforme într-un script PHP convertit (prin intermediul unui handler PHP). Iritabilitatea este cauzată de faptul că opțiunea de filtrare nu este disponibilă pentru metodă, între URI-uri valide. Indiferent de cele pe care programul le consideră http, https sau mailto, și nu URI-ul tipic pentru PHP. Este necesar, în toate modurile posibile, să se unifice o abordare similară, în mod evident infamă, a reverificării.

Fii atent la context

Reverificarea datelor de intrare se datorează erorii de introducere a datelor nesigure în programul web. O piatră serioasă se poticnește: o re-verificare pentru siguranța datelor sună ca mai mult decât primul peredbachuvanny vikoristannya.

Este permis, am luat datele pentru a le răzbuna. Pur și simplu nu vă pot spune despre prezența apostrofelor, cratimelor, arcadelor, golurilor și a unei serii întregi de caractere alfanumerice Unicode. Im'ya - aceste date corecte, yakі pot fi justificate pentru fermentație (înainte de a transfera victoria). Dar dacă doriți să câștigați yogo-ul aici (de exemplu, la solicitarea bazei de date), atunci este mai bine să vă înclinați într-un context nou. I deakі simboluri, yakі admisibile în іmenі, în contextul tsmu apar nesigure: yakscho іm'ya se transformă într-o linie pentru vikonannya SQL-іn'єktsії.

Se pare că reverificarea datelor de intrare nu este cu adevărat necesară. Este cel mai eficient pentru a vedea valori fără ambiguitate inacceptabile. Să spunem, dacă poate fi un număr întreg, sau un rând alfanumeric sau URL-HTTP. Astfel de formate și valori pot avea propria lor obmezhennia și, în cazul răsturnării corecte cu imovirnistyu mai mică, devin o amenințare. Alte valori (text nedelimitat, GET / POST-arrays de HTML) sunt mai importante de verificat, iar posibilitatea de a prelua date de la acestea este mai mare.

De cele mai multe ori programul nostru transferă date între contexte, nu putem pur și simplu să inversăm toate datele de intrare și să le considerăm complete. Reverificare la intrare - doar primul circuit de apărat, dar în același timp nu unul.

În ordinea reverificării datelor de intrare, o astfel de metodă este adesea victorioasă, precum screening-ul. Cu acest ajutor, datele sunt re-verificate pentru siguranță la intrarea în noul context de piele. Apelați această metodă pentru a salva pentru cross-site scripting (XSS), dar și pentru solicitări și în alte sarcini ca cerere de filtrare.

Ekranuvannya protejează de oboseala iertatoare, luând sărbătorile. Dar ceea ce lipsește este că lumea are nevoie de date pentru un context nou, are nevoie de o reverificare mai ales pentru un context specific.

Deși este posibil să o luăm ca o duplicare a validării cu introducerea cob, este adevărat că etapele suplimentare de reverificare sunt mai susceptibile de a proteja specificul contextului de streaming, dacă de cele mai multe ori, ele sunt și mai pronunțate. De exemplu, datele, care sunt necesare în formular, pot înlocui o sutimea număr. Cu primul mi victorios, este posibil ca sensul să aibă sens. Cu toate acestea, la transferul la modelul programului nostru, pot fi generate altele noi: pot fi adăugate valori la gama de melodii, limbajul robotului și logica de afaceri a programului. Iar dacă noul context nu are revizuiri suplimentare, atunci pot fi învinuite probleme serioase.

Victory mai multe liste albe, nu cele negre

Listele alb-negru sunt primii doi pași înainte de a verifica din nou datele de intrare. Negrii pot fi verificați din nou pe date inadmisibile, iar cei albi - pe admisibile. Listele au fost mai scurte, celor cărora, la transcrie, se transmit doar acele date, așa cum îmi este clar. De la propria sa mână, listele negre protejează mai puțin decât un permis pentru programatori cu privire la toate datele posibile, este mai ușor să te pierzi aici, dacă o ratezi sau ai milă.

Un bun exemplu - fie că este vorba despre o procedură de re-verificare, chemată să genereze HTML fără grija dintr-o privire de șabloane de date de ieșire neevaluate. Dacă doriți să câștigați o listă neagră, atunci trebuie să o revizuim, astfel încât HTML să nu înlocuiască elementele, atributele, stilurile și JavaScript nesigure. Este o treabă grozavă să lucrezi și să curățați HTML, care se bazează pe liste negre, încercați întotdeauna să nu menționați combinațiile nesigure de cod. Și asigură-te că listele sunt învingătoare, folosește-le nesemnificativ, permițând doar elementele și atributele să fie permise. Toți ceilalți vor pur și simplu vodokremlyuvatisya, іzolyuvatisya sau vor fi văzuți independent de cel care miroase.

Deci au existat liste mai bune pentru orice proceduri de verificare a siguranței sănătății și a încrederii tale.

Nu încercați să corectați datele de intrare

Reverificarea datelor de intrare este adesea însoțită de filtrare. Dacă doar evaluăm corectitudinea datelor (văzând un rezultat pozitiv sau negativ), atunci filtrarea modifică datele care sunt revizuite, astfel încât duhoarea să fie satisfăcută de reguli specifice.

Sună deshcho pentru a fi obraznic. Înaintea filtrelor tradiționale se poate vedea, de exemplu, vizualizarea numerelor de telefon ale tuturor simbolurilor, în spatele furnirului de numere (există cifre duble și cratime) sau imaginea unei întinderi orizontale sau verticale neobișnuite. In astfel de situatii este necesara curatenia minima, astfel incat gratiile sa fie oprite la ora fermentatiei sau transmiterii. Cu toate acestea, este posibil să vă relaxați în exces la filtre multiple pentru a bloca datele shkadlivyh.

Unul dintre ultimele exemple este să încercați să corectați datele de intrare: atacatorul vă poate transfera corecțiile. Valoare de rând acceptabilă, dacă nu inacceptabilă. Glumești, vezi, completezi filtrarea. Și cum poate răufăcătorul să creeze sens, împărțit la rând, pentru a-ți depăși filtrul?

ipt>alert(document.cookie);ipt>
В этом примере простая фильтрация по тэгу ничего не даст: удаление явного тэга