Странная логика, это если сказать: -на метро ездить не нужно, вы можете спрыгнуть на рельсы. Друзья, НЕ прыгайте на "рельсы", изучайте php и используйте php-функцию intval()
@@goodprogrammer не ну действительно с php можно начать новичку и не только с него а и ещё много с чего и от этого хуже по крайней мере в плане обучения не будет.
2:12 - в дальнейшем, я написал инструмент который позволил мне очень быстро выкачать все необходимые данные... Ребят, это настолько бред) Если он умеет делать такие уязвимости, то про SQLMap о котором знает каждый "хороший программист", который автоматом позволяет проверять юрлы на такие уязвимости и выкачивать данные, знать должен каждый. Но мля, писать что то чтоб выкачать данные, это жесть) И при чем тут пхп.. Будто бы на других языках не допускаются инъекции.. Вы еще XSS найдите и обвините пхп
Так а причём тут php если Прогер который писал зарос в базу элементарно не проверяет что приходит от пользователя. На php как и на любом языке нужно уметь писать, и никаких проблем не будет
Ну это смешно, SQL инъекции легко избежать использую плейсхолдеры в запросах и это не зависит от языка на котором пишется сайт. А если работать через нормальные ORM то вообще таких проблем не будет. Язык php самый популярный, поэтому на нем написано много кривых сайтов. Да и сомневаюсь что новичок начнет изучать тот же ruby вместо php.
> SQL инъекции легко избежать использую плейсхолдеры в запросах Как видим, не все об этом знают =) > и это не зависит от языка на котором пишется сайт На рельсах очень сложно сделать такой косяк, т.к. там вообще SQL-запросов в коде нет, используется ActiveRecord по умолчанию. Также используется strong_params в контроллере. > А если работать через нормальные ORM то вообще таких проблем не будет. Расскажите, если знаете, какой процент разработчиков на PHP использует ORM? > Да и сомневаюсь что новичок начнет изучать тот же ruby вместо php. Почему же? У нас как раз много новичков его и начинают изучать.
Ну общий процент программистов который используют ORM я не знаю, но все мои знакомые программисты используют этот инструмент =) А курс почти за 60 т.р не много людей себе могуть позволить, когда тот же курс по php стоит 11 т.р . Да и материала по php в свободном доступе гараздо большее. Отчасти я согласен с вами, что php не для новичков =)
> Ну общий процент программистов который используют ORM я не знаю, но все мои знакомые программисты используют этот инструмент =) Круто! > А курс почти за 60 т.р не много людей себе могуть позволить, когда тот же курс по php стоит 11 т.р . А причем тут наш курс? Бесплатных материалов и по руби полно. А если сравнивать именно курсы, то сомневаюсь, что кто-то будет разбирать Ваш код на php в индивидуальном порядке в течение 5-ти месяцев (а потом ещё 2 месяца возиться с Вашим дипломным проектом) за 11к рублей. Так что сравнивать тут нужно не языки программирования, а формат курсов.
Не понял, я другие языки типа автоматически строки на предмет Sql injection фильтруют? Или приходящие от пользователя данные автоматом проверяют? Вы что несёте? Причем тут PHP?
> Не понял, я другие языки типа автоматически строки на предмет Sql injection фильтруют? Если речь про руби, то, грубо говоря, да. В руби ни одному разработчику в голову не придет шпарить запросы в БД напрямую, в руби куда больше, чем в PHP развита культура использования сторонних библиотек. SQL-запросы в Rails в коде - это очень плохой code smell и все это знают с пеленок и используют методы active_record. Его, кстати, чуть позже и на PHP написали.
Стоп! Ruby - это язык программирования, Rails (Ruby on Rails) - это фреймворк. Вы как то слишком легко смешиваете эти понятия. Сам по себе ЯЗЫК не реализует ни одного паттерна (в том числе и AR). А сравнивать солёное с красным - это ИМХО дилетантство. Ну или маркетинг. Короче этим роликом и своими комментариями вы просто дискредитируете себя и свои же курсы в глазах тех кто в этом понимает.
Вы включили формализм очень напрасно. Ruby - это не просто язык, это ещё сообщество и философия. Вы как раз сейчас отлично продемонстрировали разницу в мышлении тем, кто это понимает.
Демагогия... "сообщество и философия" уж точно никак не влияют на безопасность и устойчивость к взлому! :) upd: А замечание по поводу того, что кто то включил формализм - вообще такое себе замечание для ПРОГРАММИСТА!
До пофиг на замечания и красивые слова. Вот факты: сайты на rails очень редко уязвимы к sql injection, сайты на PHP - каждый второй. Про это и видос. Что непонятно-то? :)
@@installero ну php это либо вордпресс, как бы он ни был ужасен, просто с ходу его не сломаете. Ну а нормальные проекты пишутся на симфони или ларавеле и так говнокода нет. У вас стереотипы о php 10 летней давности. А говнокодеров есть на каждом языке.
ну как бы базы sql есть и были не только для php а для java, js и такая херня везде прокатит если программист долбаёб, всё равно что снять ролик посмотрите БМВ говно, если ключ в машине забыл водитель её можно легко угнать, ну так любую угнать можно, пример за уши притянут
В чистом асме уязвимостей тьма. Попробуй тот же %s или $. Если не фильтруется, то в лучшем случае Крах Ан Крайт программы. PHP, как и C, возлогает свою безопасность на разработчика. Не думай, не защищаю PHP. Это крайне специализированный язык. Но думать о безопасности надо в любом из подобных языков самому.
Ребята, от этой штуки НУ ООЧЕНЬ легко защититься. Просто при переходе на подобную ссылку на вашем сайте добавьте проверку - если в куках, в которых должен храниться параметр, например id, значение не совпадает со значением в ссылке, то просто сделайте переадресацию на главную страницу сайта. Надеюсь понятно объяснил)
Ну если сайт настолько не защищен от SQL-инъекций, что у него id страниц напрямую передаются, его грех не взломать. Какой-то клинический случай вы показали
интересно вы только показали уязвимиость сайта на примере sql injection но есть же технология подготовленых запросов ORM RedBean которая предотварщает данную дыру
пхп-то тут при чем? не использование плейсхолдеров - это проблема программиста, а не языка. равно так же на java или любом другом языке можно принять данные от пользователя и не валидируя их отправить на выполнение в sql запрос.
Казалось бы, ни при чем, но написание своих запросов руками я лично чащего всего вижу именно в PHP. В рельсах, например, очень редко пишут SQL-запросы прямо в коде, не используя ActiveRecord.
А что мешает пользователю привелекии снять в PhpMA чтобы защита была не на уровне "не делайте пожалуйста" тип добавить только привелегию Insert и просто добавлять позльзователей без привелегий, Php полне норм язык если вы не прям 0
во взломе не php виноват а кривые руки 1. запросы нужно писать так SELECT `name` FROM `users` WHERE `id` = '$id' а не SELECT name FROM users WHERE id = $id 2. php уже давно не поддерживает возможность написания кривых запросов 3. может и мой сайт легко взломаете?
как легко взломать rails приложение. Щупаем маршруты, изучаем формы на наличие скрытых полей, пробуем подменить значения полей, пробуем скрещивать маршруты (например постов и комментариев) и рано или поздно можно найти уязвимость в возможностях. Хотя я уверен, что не всегда возможно
Этот способ взлома уже давно себя отжил, любой нормальный программер его знает, по этому делает запросы к БД подготовленные. Видео для программеров младшего школьного возраста и старших групп ясель
RedBean PHP и никаких sql инъекций нету. И это больше чем ахуенно пол видео смотреть на замазанный монитор. Сейчас свыше 20 более новых, менее известных, и даже работающих уязвимостей, а вы рассказываете и инъекциях.
Очевидно что сайт был написан кем-то кто не разбирается в php от слова совсем. Те же самые пароли сто лет никто не хранит в открытом виде, а к примеру лично я часто даже дважды или трижды оборачиваю пароль в мд5, пример в квадратных скобках [ md5(md5(md5($pass))) ], мне не сложно, а любителям поковыряться в бд и попытаться расшифровать пароль придется подсуетиться; в итоге у меня всегда пароли в базе данных лежат в таком виде, кроме того использование флагов, использование intval, затирание расширения ".php",префиксы в таблицах БД и еще много чего всегда присутствует и используется постоянно, доступ к каталогам никоим образом ты тоже получить не сможешь, а я всего лишь мидл, а не сеньор даже.
PDO вышло с чата. У дурачка ломают сайт школьника написан в 2000-х... Абсолютно любой урок по работе с базой начинается со слов, вот это запрос, но в чистом виде мы его не используем, подключаем pdo и шуршим.
@@goodprogrammer Как и в любом другом языке, не стоит выделять. То что на php пишет больше людей, это объясняется требованием рынка, php в вебе все еще лидер и не скоро это изменится.
Выбирайте любой фреймворк и на нем пишите, используя стандартные библиотеки: Django, Ruby on Rails, на том же PHP есть Laravel, Symfony, Yii. Только бога ради, не придумывайте "свою офигенную архитектуру", как это любит делать любой типичный пэхапэшник.
Кирилл профессионал, сразу видно, а вот кучерявый пришел понаезжать на PHP. Как будто все языки защищают сайт и данные. Тут же сразу видно, что сайт делал ламер. Если он хранит пароли в базе в открытом виде, то это даже не студент, возможно, просто водитель автобуса, не имеет профильного образования.
Криво писать будут на любом языке программирования даже "опытные" программисты. Меня порадовало то. что советуют не писать на PHP неопытным программистам :D А на чем им тогда писать? А по поводу ORM - это хоть и хороший вариант, но она "замедляет" работу сайта в "высоконагруженных" проектах.
Блин, там чувак пароли в открытом виде в БД держал, о какой безопасности вообще тут может идти речь? Сайт сделан студентом на коленке за полдня. А заголовок то какой у видоса, мамкины хакеры)
Кирил, хороший, опытный программист.... который живёт на кухне.... Как такое возможно? Знаю лично Джуна, который купил себе в столице двушку и сделал там ремонт. Касательно взлома - дело в том что в современном мире используется PDO с подготовленными запросами, а вот в данном случае скорее всего используется устаревшая технология прямого взаимодействия с БД а именно msqli, но и тут можно обезопасить запросы. Дело не в языке, а в отсутствии у программиста необходимого уровня знаний, но и это не значит что программист плохой человек)
Бля... чуваки..... Мне подруга скинула ссылку на этот видос мол "тут Май Абрикосов показывает как сайт взломать с вопросительным знаком в урле. почему с ютубом /watch?v=dOaGvMaFkbY+UNION+SELECT+password+FROM+users такая херня не работает? делаю все как на видео" Бля, Настя... )))))))))))))
Лучше делать так: 1. Использовать PDO. 2. Фильтровать все параметры на символы из списка запрещенных (; и например ` самые важные). 3. Использовать (int) везде, где нужно передавать именно int
Будучи человеком, который только начал в php и еще не имеет сильного опыта. Но стараюсь делать по лучшему из того что я могу и чистить дыры. Так обосраться с данными пользователей надо еще суметь. И это уже скорее халатность или дедлайн был слишком близок)
А в чем проблема? Работай как угодно, хоть пост, хоть гет. Проблема в отсутствии PDO, код писал человек, который даже не пытался изучать работу с базой. Если бы человек потратил день своего времени, у него бы уже как минимум стоял какой нить илюминейт и все подобные траблы пропали бы разом. Затем обернуть его в какой нит эктив рекорд, и горя не знать.
ага... учить что то с нормальным ооп что бы потом барахтаться в php... PDO ? нет конечно... нафига что то говорить по делу...просто посотрясаем воздух и все... а софт что написан был что бы стянуть бд случаем не фришный которому уже 100500 лет в обед?
Друзья, поясните мне чайнику. Кого не спрашиваю, все уперто молчат. Объясните пожалуйста! Почему некоторые авторы книг пишут что в SQL выборка SELECT принадлежит языку DQL - Doctrine Query Language, а некоторые говорят SELECT принадлежит DML. Где истина? Вот посмотрите например лекцию на английском правда, там говорится о DQL как языке выборки с оператором SELECT ruclips.net/video/-juirLxfuqs/видео.html
На любом языке новичек может написать херню. А отговаривать новеньких от пыхи полнейший бред т.к сам язык дается легче. Говнокод можно написать везде, сам язык тут не причем.
Очень глупые рассуждения. Пхп с безопасностью никак не связан? Причем тут пхп? Все сервисы должны быть изолированы в контейнеры и не иметь доступа к системным хреням. Пхп май админ не должно быть на проде, а про SQL инъекции разрабы вообще не должны знать - подготовленные запросы и нормальная ОРМ.
99 случаев из 10 это сайт написан на php!
цитаты великих философов
скорее всего он хотел сказать 90% случаев, но потому подсмотрел в шпаргалочку на руке и сказал "90... 9 случаев из 10"
мне нужна помощь за вдохновение .. cайт php
ахуенная фраза
Я пишу на html
@@sokolarjd Я не рекомендую, писать - Такие сайты их без труда можно взломать
Как легко взломать сайт на PHP. А такое великое название видео. А на деле как взлом курсовой работы студента, который писал за ночь весь сайт.
Сайт давно на рынке, компания зарабатывает неплохие деньги, ссылку палить не будем по этическим соображениям. Про это блин и видео. Что не студенты.
@@Artistofun так может контора экономит на сотрудниках... там и правда работали студенты))
Это какие сейчас сайты в URL которых можно сделать GET ? На зоре PHP поверю, а сейчас уже не актуально.
М-м, помните «зорю» PHP, уважуха!
Невыносимо смотреть, можно без музыки было или сделайте её тише раз в 5.
99 случаев из 10! Чувак, у тебя тоже уязвимость.
Было ж уже (см ниже)
В жопе дырка!
Странная логика, это если сказать: -на метро ездить не нужно, вы можете спрыгнуть на рельсы. Друзья, НЕ прыгайте на "рельсы", изучайте php и используйте php-функцию intval()
Если продолжать Вашу аналогию, то 90% ездящих на метро прыгают на рельсы, потому что не знают, что так нельзя :)
@@goodprogrammer не ну действительно с php можно начать новичку и не только с него а и ещё много с чего и от этого хуже по крайней мере в плане обучения не будет.
Когда услышал слово "ПЭ-ХЭ-ПЭ" поставил дизлайк, закрыл видео.
Спасибо вам за очень глубокий комментарий
@@goodprogrammer согласен хто в наше время говорит пэ хэ пэ
Потому что ты олень.
Подожди еще не много и услышишь от них ЭР-ЭН-ЭР
Жаргон ета)
всё, меня не беспокоить, я до утра сайты взламывать буду
У тебя было немного больше времени, а теперь отвечай, сколько сайтов взломал ?
привет! а по моей ссылке сайт можешь крякнуть и вытащить из него все?
фиксится 3 строками с PDO
1 строкой, поставив илюминейт с Гита и добавив либу в автозагрузки. Где и пдо, и билдер запросов и все что нужно.
2:12 - в дальнейшем, я написал инструмент который позволил мне очень быстро выкачать все необходимые данные...
Ребят, это настолько бред) Если он умеет делать такие уязвимости, то про SQLMap о котором знает каждый "хороший программист", который автоматом позволяет проверять юрлы на такие уязвимости и выкачивать данные, знать должен каждый. Но мля, писать что то чтоб выкачать данные, это жесть)
И при чем тут пхп.. Будто бы на других языках не допускаются инъекции.. Вы еще XSS найдите и обвините пхп
Да, как и было сказано, PHP тут не при чем ;)
Дайте им "потроллить" PHP :D это должен сделать каждый "не-PHP" программист...
есть знания о безопасности php?
Так а причём тут php если Прогер который писал зарос в базу элементарно не проверяет что приходит от пользователя. На php как и на любом языке нужно уметь писать, и никаких проблем не будет
ойвсе )
сколько раз повторять - пхп не виноват, но на пхп таких говнокодеров больше, чем на других языках (так вот получилось)
@@goodprogrammer Не говнокодят только на том языке, на котором не пишут. На ruby вот вообще не говнокодят - это факт ;)
@@goodprogrammer Ладно. Пусть тогда новечки начинают с С++ :-)
Ну это смешно, SQL инъекции легко избежать использую плейсхолдеры в запросах и это не зависит от языка на котором пишется сайт. А если работать через нормальные ORM то вообще таких проблем не будет.
Язык php самый популярный, поэтому на нем написано много кривых сайтов. Да и сомневаюсь что новичок начнет изучать тот же ruby вместо php.
> SQL инъекции легко избежать использую плейсхолдеры в запросах
Как видим, не все об этом знают =)
> и это не зависит от языка на котором пишется сайт
На рельсах очень сложно сделать такой косяк, т.к. там вообще SQL-запросов в коде нет, используется ActiveRecord по умолчанию. Также используется strong_params в контроллере.
> А если работать через нормальные ORM то вообще таких проблем не будет.
Расскажите, если знаете, какой процент разработчиков на PHP использует ORM?
> Да и сомневаюсь что новичок начнет изучать тот же ruby вместо php.
Почему же? У нас как раз много новичков его и начинают изучать.
Ну общий процент программистов который используют ORM я не знаю, но все мои знакомые программисты используют этот инструмент =)
А курс почти за 60 т.р не много людей себе могуть позволить, когда тот же курс по php стоит 11 т.р . Да и материала по php в свободном доступе гараздо большее. Отчасти я согласен с вами, что php не для новичков =)
> Ну общий процент программистов который используют ORM я не знаю, но все мои знакомые программисты используют этот инструмент =)
Круто!
> А курс почти за 60 т.р не много людей себе могуть позволить, когда тот же курс по php стоит 11 т.р .
А причем тут наш курс? Бесплатных материалов и по руби полно.
А если сравнивать именно курсы, то сомневаюсь, что кто-то будет разбирать Ваш код на php в индивидуальном порядке в течение 5-ти месяцев (а потом ещё 2 месяца возиться с Вашим дипломным проектом) за 11к рублей. Так что сравнивать тут нужно не языки программирования, а формат курсов.
Вам смешно, а вы уверены, что нанятый вами пхп-шник будет таким же остроумным и не косякнет вдруг в самом неожиданном месте?
Да, я буду уверен. После того как я посмотрю на его готовые проекты и поговорю с этим человеком о технологиях которые он собирается применять =)
Музыку еще громче можно?
Не понял, я другие языки типа автоматически строки на предмет Sql injection фильтруют? Или приходящие от пользователя данные автоматом проверяют? Вы что несёте? Причем тут PHP?
> Не понял, я другие языки типа автоматически строки на предмет Sql injection фильтруют?
Если речь про руби, то, грубо говоря, да. В руби ни одному разработчику в голову не придет шпарить запросы в БД напрямую, в руби куда больше, чем в PHP развита культура использования сторонних библиотек. SQL-запросы в Rails в коде - это очень плохой code smell и все это знают с пеленок и используют методы active_record. Его, кстати, чуть позже и на PHP написали.
Стоп! Ruby - это язык программирования, Rails (Ruby on Rails) - это фреймворк. Вы как то слишком легко смешиваете эти понятия. Сам по себе ЯЗЫК не реализует ни одного паттерна (в том числе и AR). А сравнивать солёное с красным - это ИМХО дилетантство. Ну или маркетинг. Короче этим роликом и своими комментариями вы просто дискредитируете себя и свои же курсы в глазах тех кто в этом понимает.
Вы включили формализм очень напрасно. Ruby - это не просто язык, это ещё сообщество и философия. Вы как раз сейчас отлично продемонстрировали разницу в мышлении тем, кто это понимает.
Демагогия... "сообщество и философия" уж точно никак не влияют на безопасность и устойчивость к взлому! :)
upd: А замечание по поводу того, что кто то включил формализм - вообще такое себе замечание для ПРОГРАММИСТА!
До пофиг на замечания и красивые слова.
Вот факты: сайты на rails очень редко уязвимы к sql injection, сайты на PHP - каждый второй.
Про это и видос. Что непонятно-то? :)
Парень молодец, для юзверя такой набор знаний непреодолимая стена.
Ну а если использовать библиотеки? к пример ред бин? которая работает с бд? или эта библиотека так же плоха?
Если бы все ПХПшники использовали правильно правильные библиотеки - этого видео бы не было
Поставил лайк, было очень смешо )))). Хотя сам живу и дышу с PHP. : -))) Хакеры блин, Ха-ха...., Блин со стула упал....
Сейчас бы в 2017 году не использовать prepare и stmt
В каждой книге про php (всмысле во всех ) есть глава про sql- инъекцию
Отлично. Осталось выяснить, все ли, кто делает сайты на PHP, прочитали хотя бы одну книгу по PHP до конца.
@@installero ну php это либо вордпресс, как бы он ни был ужасен, просто с ходу его не сломаете. Ну а нормальные проекты пишутся на симфони или ларавеле и так говнокода нет. У вас стереотипы о php 10 летней давности. А говнокодеров есть на каждом языке.
ну как бы базы sql есть и были не только для php а для java, js и такая херня везде прокатит если программист долбаёб, всё равно что снять ролик посмотрите БМВ говно, если ключ в машине забыл водитель её можно легко угнать, ну так любую угнать можно, пример за уши притянут
а что за скрип написал программист ?, можно было в sqlmap пробить и достать таблицы, а если и пароль не в md5 то это 3 минуты, и не ?
Просто нужно быть внимательнее при создании чего либо. Я устал искать в свое время сайты с sql уязвимостью. Я имею ввиду нормальный сайт.
Лютый взлом, и музыка соответствует апокалипсису ! Новичку начинать нужно с ассемблера ! )
В чистом асме уязвимостей тьма. Попробуй тот же %s или $. Если не фильтруется, то в лучшем случае Крах Ан Крайт программы. PHP, как и C, возлогает свою безопасность на разработчика. Не думай, не защищаю PHP. Это крайне специализированный язык. Но думать о безопасности надо в любом из подобных языков самому.
Нет нужно начинать с html
Как обычно хейтят php, толи народ руби учить не желает и пытаются таким образом переманить людей.
Хейтим кривые руки ;)
Как раз таки хейтите пхп этим заголовком.
Не хейтим, а троллим и предостерегаем :)
Нет. Всё таки хейтите :)
Нет, все-таки нет :)
Ребята, от этой штуки НУ ООЧЕНЬ легко защититься. Просто при переходе на подобную ссылку на вашем сайте добавьте проверку - если в куках, в которых должен храниться параметр, например id, значение не совпадает со значением в ссылке, то просто сделайте переадресацию на главную страницу сайта. Надеюсь понятно объяснил)
Просто надо id приводить к числовому типу.
Ну если сайт настолько не защищен от SQL-инъекций, что у него id страниц напрямую передаются, его грех не взломать. Какой-то клинический случай вы показали
А чего принципиально плохого в передаче id страниц напрямую?
@@goodprogrammer Напрямую в смысле напрямую в SQL-запрос они идут. Без плейсхолдеров. Так-то, конечно, нормальная практика, особенно если в backend-е
А если сайт пишет запрещённые символы, выявлена попытка взлома?
А почему так тихо играет музон?)
Чтобы было хорошо слышно голос
Хороший программист (Сарказм)
Хороший программист Слишком громко играет
Да вроде норм, ну ладно, пусть будет и такое мнение :)
Добрый день, возможно ли связаться с Вашим программистом Кириллом
Это троллинг чтоли? Сколько сайтов на PHP сачас можно так взломать? 0?
Вы правда думаете, что ни в одном из сайтов на PHP нет уязвимости к SQL-инъекциям?
Где такой же мак можно заказать?
интересно вы только показали уязвимиость сайта на примере sql injection но есть же технология подготовленых запросов ORM RedBean которая предотварщает данную дыру
Вот почему так важно использовать подобные технологии в своих проектах!
пхп-то тут при чем? не использование плейсхолдеров - это проблема программиста, а не языка.
равно так же на java или любом другом языке можно принять данные от пользователя и не валидируя их отправить на выполнение в sql запрос.
Казалось бы, ни при чем, но написание своих запросов руками я лично чащего всего вижу именно в PHP. В рельсах, например, очень редко пишут SQL-запросы прямо в коде, не используя ActiveRecord.
Рельсы это фреймворк. На пыхе все фреймы (почти) предоставляют обертку для запросов.
А что мешает пользователю привелекии снять в PhpMA чтобы защита была не на уровне "не делайте пожалуйста" тип добавить только привелегию Insert и просто добавлять позльзователей без привелегий, Php полне норм язык если вы не прям 0
И все? Рассказали бы про другие уязвимости
Показали))). Лишь бы видос запилить.
Более информативного видео по взлому сайтов я еще не встречал, браво…
во взломе не php виноват а кривые руки
1. запросы нужно писать так SELECT `name` FROM `users` WHERE `id` = '$id' а не SELECT name FROM users WHERE id = $id
2. php уже давно не поддерживает возможность написания кривых запросов
3. может и мой сайт легко взломаете?
1'; DROP TABLE `users`; --
Нигде так не рассказывают что такое sql injection как тут, вот вообще не понимал как это работает, а тут спасибо!)
как легко взломать rails приложение.
Щупаем маршруты, изучаем формы на наличие скрытых полей, пробуем подменить значения полей, пробуем скрещивать маршруты (например постов и комментариев) и рано или поздно можно найти уязвимость в возможностях. Хотя я уверен, что не всегда возможно
Этот способ взлома уже давно себя отжил, любой нормальный программер его знает, по этому делает запросы к БД подготовленные. Видео для программеров младшего школьного возраста и старших групп ясель
Увы, до сих пор есть сайты, которые можно взломать этим способом. Много сайтов не обновляют свой код, много PHP-разработчиков ничему не учатся.
причем тут Php , когда была проведена SQL инъекция
Оказалось, что не все PHP-разработчики знают такие очевидные вещи
RedBean PHP и никаких sql инъекций нету.
И это больше чем ахуенно пол видео смотреть на замазанный монитор.
Сейчас свыше 20 более новых, менее известных, и даже работающих уязвимостей, а вы рассказываете и инъекциях.
Очевидно что сайт был написан кем-то кто не разбирается в php от слова совсем. Те же самые пароли сто лет никто не хранит в открытом виде, а к примеру лично я часто даже дважды или трижды оборачиваю пароль в мд5, пример в квадратных скобках [ md5(md5(md5($pass))) ], мне не сложно, а любителям поковыряться в бд и попытаться расшифровать пароль придется подсуетиться; в итоге у меня всегда пароли в базе данных лежат в таком виде, кроме того использование флагов, использование intval, затирание расширения ".php",префиксы в таблицах БД и еще много чего всегда присутствует и используется постоянно, доступ к каталогам никоим образом ты тоже получить не сможешь, а я всего лишь мидл, а не сеньор даже.
я бы не так сказал, 90% сайтов на пыхе пишут рукожопы, если писали нормально то никаких там дыр нет, беда php что много примеров написанны рукожопами
Да
На каких шишках сидит вам опытный программист?
Если надо взломают, что бы вы не ставили какая либо защита не была! можно все ровно проникнуть на сайт и любой компьютер.
Ну если так рассуждать то лучше вообще от интернета всем отключиться, а жить в бункере с тремя замками
такое виде не стоит выкладывать в открытый доступ - оно бесполезно
😂😂
PDO вышло с чата. У дурачка ломают сайт школьника написан в 2000-х... Абсолютно любой урок по работе с базой начинается со слов, вот это запрос, но в чистом виде мы его не используем, подключаем pdo и шуршим.
Вот как видите среди пхпшников еще полно таких «дурачков». Увы.
@@goodprogrammer Как и в любом другом языке, не стоит выделять. То что на php пишет больше людей, это объясняется требованием рынка, php в вебе все еще лидер и не скоро это изменится.
RedBeanPHP для кого придуман?
Явно не для авторов сайта :)))
Из ваших слов выходит что ютуб, вк, википедия написаны плохо?
Конечно, нет, расскажите Вашу логику.
Эту уязвимость легко устранить, дело не в php а в недоразвитости программиста того сайта
Не надо делать поспешных выводов и обвинять php
Как устранить эту уязвимость?
@@global1583 прикол в том, что инструментом php данную уязвимость устранить невозможно
@@SirSnabrer ну да, ты же не можешь использовать функцию преобразования в числа или проверки строки на содержание "лишних" символов?
@@SirSnabrermysqli->prepare()
Тогда появляется логичный вопрос. На чем лучше писать сайт с БД новичку?
Выбирайте любой фреймворк и на нем пишите, используя стандартные библиотеки: Django, Ruby on Rails, на том же PHP есть Laravel, Symfony, Yii. Только бога ради, не придумывайте "свою офигенную архитектуру", как это любит делать любой типичный пэхапэшник.
Для начинающего php + mysql проще всего. Если это учебный проект.
@@xRedimeRx а если допустим не учебный? На чем лучше написать? (Спрашиваю из любопытства)
плоха что для электронных журрналов аиас аверс не получится взломать при помощи пхп иньекций так как он написан на какомто говнофреймворке js
Базу сломать можно, если в скрипте есть дырко
Есть кто на сайте программист отпишитесь нужна маленькая помощь.
В 2021 уже не бывает скулей
Так себе примерчик. Можно было бы что нибудь и по серьезнее показать
Вам самим было комфортно с такой фоновой музыкой смотреть?
Легко исправить используя ORM,или же писать like
Кирилл профессионал, сразу видно, а вот кучерявый пришел понаезжать на PHP. Как будто все языки защищают сайт и данные.
Тут же сразу видно, что сайт делал ламер. Если он хранит пароли в базе в открытом виде, то это даже не студент, возможно, просто водитель автобуса, не имеет профильного образования.
Помогите взломать программу
2:31 посмотрите на лицо программиста :D
Спасибо! Тель-Авиву привет!
Смысл видео? Все заблюрено. Музыка мешает. Бубу бу - поняли!? Нет мы нихуА не поняли.
"сам по себе PHP с безопасностью не связан" ору :D
Хрен вы взломаете так приложение на джаве написанное на спринге и хибернейте.
Криво писать будут на любом языке программирования даже "опытные" программисты. Меня порадовало то. что советуют не писать на PHP неопытным программистам :D А на чем им тогда писать? А по поводу ORM - это хоть и хороший вариант, но она "замедляет" работу сайта в "высоконагруженных" проектах.
Ron Barhash, используй PDO
поддержки PDO не всегда доступна.....
@@ronbarhash когда речь о высоконагруженных, сайтах, твои слова уже не играют роли, никакой)
Музыка, как будто я играю в Героев меча и магии ...
Сайт школьника можно так ломануть ,, а так любой программист это знает ,,,
Программист либо фильтрует везде, либо не где!
Причем тут пхп? Все зависит от уровня программиста. Ещё 5% сайтов это просто html, там можете чего-нибудь взломать )))
Блин, там чувак пароли в открытом виде в БД держал, о какой безопасности вообще тут может идти речь? Сайт сделан студентом на коленке за полдня. А заголовок то какой у видоса, мамкины хакеры)
Кирил, хороший, опытный программист.... который живёт на кухне.... Как такое возможно? Знаю лично Джуна, который купил себе в столице двушку и сделал там ремонт.
Касательно взлома - дело в том что в современном мире используется PDO с подготовленными запросами, а вот в данном случае скорее всего используется устаревшая технология прямого взаимодействия с БД а именно msqli, но и тут можно обезопасить запросы.
Дело не в языке, а в отсутствии у программиста необходимого уровня знаний, но и это не значит что программист плохой человек)
Люди пишите на HTML 4.01, и ручками обновлять 1000 страниц не так уж сложно
Типичный ноулайфер в квартире на 20кв/м. Жаль мне таких пацанов. Я живу в доме и на природе и у меня огромный офис для программирования.
Заходите заходите на предложенный сайт, нам так будет легче уязвимые сайты найти! Зайцы сами к волку бегут красотааааааа ;)
Бля... чуваки..... Мне подруга скинула ссылку на этот видос мол "тут Май Абрикосов показывает как сайт взломать с вопросительным знаком в урле. почему с ютубом /watch?v=dOaGvMaFkbY+UNION+SELECT+password+FROM+users такая херня не работает? делаю все как на видео"
Бля, Настя... )))))))))))))
Потому что ютуб писали умные люди :)
Я делаю (int)$_GET['id'] слооожна
А все уже давно используют нормальные библиотеки, которые поддерживают плейсхолдеры! :) Попробуйте - вдруг понравится :)
Лучше делать так: 1. Использовать PDO. 2. Фильтровать все параметры на символы из списка запрещенных (; и например ` самые важные). 3. Использовать (int) везде, где нужно передавать именно int
Помоги пожалуйста сайт 1 взломать.
Не надо ничего ломать, поставьте на место!
Хороший программист поздно))))
Будучи человеком, который только начал в php и еще не имеет сильного опыта. Но стараюсь делать по лучшему из того что я могу и чистить дыры. Так обосраться с данными пользователей надо еще суметь. И это уже скорее халатность или дедлайн был слишком близок)
с базой данных работать с методом гет, рили?
А в чем проблема? Работай как угодно, хоть пост, хоть гет. Проблема в отсутствии PDO, код писал человек, который даже не пытался изучать работу с базой. Если бы человек потратил день своего времени, у него бы уже как минимум стоял какой нить илюминейт и все подобные траблы пропали бы разом. Затем обернуть его в какой нит эктив рекорд, и горя не знать.
В любом языке не проверять данные - это косяк !!!
Но не проверяют их чаще всего именно в пхп
@William M. Везде делают ошибки.
Но в PHP (особенно новички) косячат _гораздо чаще_, потому что там накосячить _проще_.
Что не понятного?
просто делайте все через пост заросы, а если хотите гет то только поиск систему и заполнение каких то полей
А в чем проблема сделать такой же запрос с таким id (который SQL кол содержит)?
ага... учить что то с нормальным ооп что бы потом барахтаться в php... PDO ? нет конечно... нафига что то говорить по делу...просто посотрясаем воздух и все... а софт что написан был что бы стянуть бд случаем не фришный которому уже 100500 лет в обед?
ха ха ха причем тут php ? че на других языках sql инекций не пашут ? может sql технологии есть проблема?
пишут, но пхпшники пишут в 1000 раз чаще, в них проблема, а технологии в порядке
В php есть строга типизация используйте Ее всегда, в параметрах методов и функции прописывайте типы которые вы хотите там видеть, и Иисус возлюбит вас
Хороший комментарий!
Вывод - пишите на фреймфорках
Друзья, поясните мне чайнику. Кого не спрашиваю, все уперто молчат. Объясните пожалуйста! Почему некоторые авторы книг пишут что в SQL выборка SELECT принадлежит языку DQL - Doctrine Query Language, а некоторые говорят SELECT принадлежит DML. Где истина? Вот посмотрите например лекцию на английском правда, там говорится о DQL как языке выборки с оператором SELECT ruclips.net/video/-juirLxfuqs/видео.html
Правильно, нахуй php, осталось только переписать 80% сайтов
Ваша правда!
На любом языке новичек может написать херню. А отговаривать новеньких от пыхи полнейший бред т.к сам язык дается легче. Говнокод можно написать везде, сам язык тут не причем.
пхэ пэ )) очень часто можем наблюдать подобные вещи (пэ хэ пэ)
боже, даже под мылом не показывается что он делает просто кулхацкер
Правильно сделанный сайт на PHP не взломать.
Блин, записывайте с экрана
что этот опытный курит что аж на коленках взломал что то
Хрень, это практически первое, что делает каждый пхпшер. Так можно любой сайт ломать, на чем бы он ни был написан.
Снимите розовые очки, далеко не каждый пхпшник пишет надежный код (мягко говоря)
Найдёте хоть один сайт на RoR или Django, где можно провернуть SQL injection -- пишите, а так "пруф или не было".
Напишите мне свой номер.
нихуя не вижу, куда смотреть?
куда смотреть чтобы что?
Очень глупые рассуждения. Пхп с безопасностью никак не связан? Причем тут пхп? Все сервисы должны быть изолированы в контейнеры и не иметь доступа к системным хреням. Пхп май админ не должно быть на проде, а про SQL инъекции разрабы вообще не должны знать - подготовленные запросы и нормальная ОРМ.
Все равно что ломать локалхост.
Меж тем такие дыры с SQL-инъекциями наблюдаются как правилно именно на сайтах, где используется PHP. Про это и речь на видео.
Данил Андреев "Изолированы в контейнеры" и "не иметь доступа к системным хреням". Сам хоть понял, че сказал? Ньюб.
Смотри как это работает Трезвый