so-injections horror

[netch80]

https://laurent22.github.io/so-injections/
Это адский мрак. Половина вопросов с дырами => из них половина выйдет в релиз нелеченными.

Comments

[gegmopo4]

Отчего такая разница между Украиной и Индией?

[vitus_wagner]

От того что на постсоветском пространстве чайники не знают английского.
Поэтому способность задать вопрос на stackoverflow - это признак уже слегка продвинутого юзера, в отличие от Индии и Малайзии.

Если бы в рассмотрение включили какой-нибудь sql.ru, или где там у тусуются русскоязычные чайники-пхпшники, счет бы сравнялся.

[vitus_wagner]

стэковерфлоу это одна большая дыра между двумя половинками понятно чего.
Меня так достает, что при поиске чего угодно IT-related в гугле всегда первая страница результатов занята этой помойкой, и только потом где-то видишь ссылки на архивы нормальных спеисков рассылки или еще какие вменяемые источники информации.

[netch80]

Зато на типичную постановку вопроса - мгновенный ответ.
А из результатов поисков всегда можно явно исключить.

[anonim_legion]

Если SO - помойка, то список рассылки, прости господи - междусобойчик, где посторонние и вовсе не приветствуются.

[netch80]

Почему "не приветствуется", если для подавляющего большинства достаточно просто подписаться?

[ospf-ripe.livejournal.com]

По статистике (например я смотрел WhiteHat Security) SQL injections на последнем месте. Что логично учитывая что их легко предотвратить.
Наверно до релиза подобное редко доходит. Например вопросы на SO задает junior, а потом senior делает code review и отправляет на переделку.

Еще код вида:
$id = int($_POST['id']);
....
$q = "SELECT .... WHERE id=".$id;

это ужасно плохой стиль, но не уязвимость (станет уязвимостью если int потеряется при каких либо изменениях).