- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
class core {
public static function txt($var){
$var = trim($var);
$var = stripslashes($var);
$var = str_replace("\00", '', $var);
$var = htmlspecialchars($var, ENT_QUOTES, 'UTF-8');
$var = str_replace("%", "\%", $var);
$var = str_replace("_", "\_", $var);
$var = iconv('utf-8', 'windows-1251', $var);
$var = iconv('windows-1251', 'utf-8', $var);
return $var;
}
public static function nik($id){
global $dbs;
$nick = $dbs->query("SELECT * FROM `users` WHERE `id` = '$id'")->fetch_assoc();
if(empty($nick)){
$us = '[Удален]';
}else{
$us = ($nick['onl']<time()-600?'<font color="red">[off]</font>':'<font color="green">[on]</font>').' <a href="/'.$nick['login'].'" style="color:black;"><b>'.$nick['login'].'</b></a>';
}
return $us;
}
/*.....и еще куча срани*/
Ruslyakan 31.12.2013 02:35 # −2
bormand 31.12.2013 09:54 # 0
P.S. Имена функций должны быть краткими, резкими и острыми как лезвие бритвы! shif()! nik()! txt()!
kegdan 31.12.2013 10:15 # 0
Vasiliy 31.12.2013 10:21 # 0
kegdan 31.12.2013 10:49 # −1
Stertor 31.12.2013 11:38 # 0
kegdan 31.12.2013 11:58 # 0
bormand 31.12.2013 12:08 # 0
str_replace(array("a", "b"), array("aa", "bb"), $haystack);
kegdan 31.12.2013 12:18 # 0
Stertor 31.12.2013 12:22 # 0
bormand 31.12.2013 12:22 # +1
kegdan 31.12.2013 12:23 # −3
Vasiliy 31.12.2013 16:57 # −1
Stertor 31.12.2013 17:02 # +2
Vasiliy 31.12.2013 18:17 # 0
>убери проверку IP на спамность.
Это можно а ты под каким ником зареган там ?
Stertor 31.12.2013 18:25 # 0
Один момент: т.е. ты хочешь сказать, что даже админ не видит паролей юзеров в открытом виде?
bormand 31.12.2013 18:35 # +3
Если пароли хранятся в открытом виде - значит сайт написан долбоёбом. Обычно так не делают. И все что может сделать админ - сменить пароль на другой.
P.S. В идеале пароль не должен передаваться дальше клиентской машины. Но с этим обычно не заморачиваются.
Stertor 31.12.2013 18:36 # 0
>>Если пароли хранятся в открытом виде - значит сайт написан долбоёбом
Возможно ли получить доступ к базе данных извне?
bormand 31.12.2013 18:38 # 0
Stertor 31.12.2013 18:44 # 0
anonimb84a2f6fd141 31.12.2013 19:02 # 0
ip менять не судьба?
Stertor 31.12.2013 19:15 # 0
ps/s я перепробовал 4 000 ip - все забанены.
bormand 31.12.2013 19:19 # +1
Stertor 31.12.2013 19:25 # 0
-1000
>>Ты поди через прокси или тор туда лезешь? Тогда бан вполне заслужен
Нет, я очищаю кэш в браузере, переодеваюсь в женское белеь и надушившись и подкрасив половые губы захожу на сайты со своего ip.
Учитывая мое темное прошлое было бы по меньшей мере неразумно светить свой ip.
bormand 31.12.2013 19:27 # 0
Ну собственно ССЗБ. Респект фильтру, почти все прокси режет ;)
defecate-plusplus 31.12.2013 19:30 # 0
а че ссать то
49.49.212.131
Vasiliy 31.12.2013 19:14 # 0
Stertor 31.12.2013 19:18 # 0
Меня переадресовывает на страницу с сылкой на сайт stopspam, якобы мой ip там в черных списках.
Vasiliy 31.12.2013 20:09 # 0
Stertor 31.12.2013 20:11 # 0
Vasiliy 31.12.2013 20:17 # +3
Седня уже пьян.
Stertor 31.12.2013 20:22 # +1
anonimb84a2f6fd141 31.12.2013 20:39 # 0
Your IP 95.211.226.36 has been unblocked. Please try visiting website again in 1 minute.
ЧЯДНТ?
Stertor 31.12.2013 20:43 # +1
Фактически это тебе: -1000 С Новым Годом, блин.
anonimb84a2f6fd141 31.12.2013 20:45 # 0
Stertor 31.12.2013 20:47 # −1
kegdan 31.12.2013 21:20 # 0
Stertor 31.12.2013 21:24 # 0
kegdan 31.12.2013 21:26 # 0
)
Stertor 31.12.2013 21:40 # +1
anonimb84a2f6fd141 31.12.2013 21:46 # 0
Stertor 31.12.2013 21:55 # 0
Этот урод зарегал такую учетку специально, чтобы подразнить меня ;) Но я благодарен ему, т.к. если я не нарушу своих слов - я не регистрировался, мне дали готовую учетку.
anonimb84a2f6fd141 31.12.2013 22:03 # 0
ЩИТО?
Stertor 31.12.2013 22:05 # 0
anonimb84a2f6fd141 01.01.2014 01:17 # 0
>Нет неспамных айпей
Терпи.
anonimb84a2f6fd141 01.01.2014 16:48 # 0
bormand 31.12.2013 19:05 # +1
Если админ не долбоеб, и не выставил порты наружу - нет. Но еще же есть шанс подобраться к ней изнутри, через уязвимости в коде сайта. Ну и человеческий фактор никто не отменял.
Вспомни, часто же в новостях пишут, что с какого то сайта сперли базу логинов и паролей...
anonimb84a2f6fd141 31.12.2013 19:01 # +2
Вконтакте года до 2009-2010 позволял получить пароль на мыло. Не сбросить, а получить.
Stertor 31.12.2013 19:03 # +3
Stertor 31.12.2013 20:28 # +2
inkanus-gray 31.12.2013 19:47 # +1
Выходит, что Дуров облегчил работу спецслужбам на случай, если у интернет-провайдера СОРМ-3 не установлен.
Stertor 31.12.2013 19:51 # +1
А не по их ли заказу он создал вк? Когда стадо в куче, за ним легче наблюдать. Можно контролировать каждый свой шаг в соцсетях, не писать лишнего, не публиковать личных данных - но это превращается в пытку уже через пару часов. Можно писать что угодно, публиковать что угодно, не опасаясь санкций со стороны администрации - но может настать тот роковой день, когда твоя анкета будет вскрыта по требованию спецслужб - тогда тебе не поздоровится.
anonimb84a2f6fd141 31.12.2013 20:41 # −1
Я думаю, ты преувеличиваешь финансовые возможности рашкинских аналогов АНБ. Имхо их бюджет по сравнению с доходом дурова смешен.
bormand 31.12.2013 17:04 # +1
Vasiliy 31.12.2013 18:14 # 0
inkanus-gray 31.12.2013 20:04 # +1
http://www.php.net/manual/ru/migration54.incompatible.php
И ещё несколько раз отменяли поддержку некоторых видов говнокода.
Ruslyakan 31.12.2013 12:25 # +1
kegdan 31.12.2013 12:27 # −1
bormand 31.12.2013 12:35 # 0
man bcrypt, scrypt, соль.
kegdan 31.12.2013 12:41 # 0
bormand 31.12.2013 12:48 # 0
Поэтому во-первых обязательно использовать соль (salt) - небольшой набор рандомной херни, который сделает все хеши разными. После чего взломщик обломается с параллельным перебором и радужными табличками, и ему придется подбирать каждый пароль по отдельности.
Во-вторых надо считать много итераций хеш-функции и правильно комбинировать их друг с другом: 1000 итераций пользователь даже не заметит, а взломщику придется курить в 1000 раз дольше.
Один из годных алгоритмов: http://ru.wikipedia.org/wiki/Bcrypt. В последних пыхах он, емнип, даже есть из коробки.
На крайний случай можно поюзать что-нибудь в духе - salt . '|' . sha1(salt . sha1(password)).
kegdan 31.12.2013 12:52 # 0
Говнокод образовательный)
bormand 31.12.2013 12:54 # 0
PBKDF2 еще, по идее, можно поюзать. Оно реализуется строчек в 5, если есть изкоробочное sha.
bormand 31.12.2013 13:02 # 0
anonimb84a2f6fd141 31.12.2013 19:03 # −1
bormand 31.12.2013 19:13 # 0
З.Ы. В стиме вообще RSA. Как я понял - они даже своим фронтендам не доверяют, и это рса шифрует на ключ сервера аутентификации.
anonimb84a2f6fd141 31.12.2013 20:45 # 0
И на этом вопрос закрывается. Суть SRP - клиент не должен доверять серверу, его пароль никогда не попадает в плейнтексте на сервер.
>В стиме вообще RSA.
Вопрос еще в том, как оно реализовано. В какой-то версии своего SRP близзарасты ухитрились перевернуть байты в модуле, простое число наверняка стало непростым.
bormand 01.01.2014 14:19 # 0
Ну, собственно, в том же самом таятся грабли во всяких там "безопасных шифрованных чатиках", в которых шифрование идет на стороне js. Вроде бы сейчас все честно, но кто знает, что-за скрипт сервак подбросит завтра...
anonimb84a2f6fd141 01.01.2014 16:49 # −1
Смысл SRP - не нужно доверие к серверу, на случай, если он окажется или фальшивым, или злонамеренным/взломанным. Очевидно, что js криптография этому условию не соответствует и поэтому идет нахер в принципе.
bormand 01.01.2014 18:41 # 0
А я разве спорю? Я просто дополнил этот факт тем, что любая другая криптография на жс тоже идет нахер по той же самой причине.
anonimb84a2f6fd141 01.01.2014 23:16 # −1
bormand 01.01.2014 23:18 # 0
В идеале SRP нужно проводить в уме или на специализированном приборчике в духе смарткарты ;)
anonimb84a2f6fd141 02.01.2014 23:38 # −1
bormand 02.01.2014 23:46 # 0
Ну как-то так. Чтобы "карту" можно было спокойно менять, если она сгорит.
anonimb84a2f6fd141 03.01.2014 00:06 # −1
Stertor 03.01.2014 00:13 # 0
Пойду троллить на форум, что ли. Счастливо оставаться!..
anonimb84a2f6fd141 03.01.2014 00:54 # 0
И тебе счастливо. Можешь на локалхосте форум поднять и там троллить.
1024-- 31.12.2013 12:56 # −2
Надо Борманду с wvxvw и товарищами собраться и выдавать уже дипломы (говно)кодеров за посещение сайта.
bormand 31.12.2013 13:07 # +1
kegdan 31.12.2013 13:33 # −1
Я с удовольствием помогу в синтаксисе и либах шарпа, если кому то понадобиться. Это коммуна программистов)
Stertor 31.12.2013 14:37 # 0
Как обращаться из потоков к элементам гуя? Я понимаю так, что для каждого метода гуя нужно писать потокобезопасный прототип, который и будет вызываться. Но нельзя ли примерчик? тока не с мсдн - там вообще пипец. Чтобы не захламлять эту тему, можешь ответить в любой из старых тем, или не отвечать.
kegdan 31.12.2013 15:02 # +1
Хотя можно и тупее - отрубаем у контролов проверку каким потоком они юзается
Но это черевато.
По умному - юзать continuations. Но это уже не от языка зависит.
bormand 31.12.2013 15:04 # +3
За такое надо руки отрубать. Зачем они вообще это свойство сделали?
Stertor 31.12.2013 15:07 # 0
kegdan 31.12.2013 15:21 # −1
Abbath 31.12.2013 19:10 # 0
kegdan 31.12.2013 19:15 # −1
anonimb84a2f6fd141 31.12.2013 19:04 # 0
Stertor 31.12.2013 19:05 # 0
1024-- 31.12.2013 13:35 # +6
defecate-plusplus 31.12.2013 13:52 # +3
bormand 31.12.2013 14:34 # +3
inkanus-gray 31.12.2013 20:16 # +3
defecate-plusplus 01.01.2014 10:37 # 0
и как в нем замешан тарас...
bormand 01.01.2014 11:06 # 0
Это то, чем занимаются пыхеры, расставляя подавление ворнингов: > как в нем замешан тарас
Рискну предположить - никак.
defecate-plusplus 01.01.2014 11:20 # +2
kegdan 01.01.2014 11:34 # −1
Stertor 01.01.2014 13:34 # 0
http://ok.ya1.ru/uploads/posts/2010-02/1266488067_p5-3-060110-212847.jpg
3.14159265 31.12.2013 19:06 # +3
Знакомый базар. Видимо Тарас производит впечатление успешного управленца.
http://govnokod.ru/13183#comment182035
Ruslyakan 31.12.2013 12:39 # 0
bormand 31.12.2013 12:33 # 0
> шифрование пароля, - очень прочное
Ну здесь у автора кода все-таки был проблеск разумности, и он все-таки додумался вынести хеширование в отдельную функцию, реализацию которой можно поменять. Обычно все еще печальней - md5(), рассеянные прямо в коде, или вообще plain-text пароли.
kegdan 31.12.2013 12:35 # 0
Кручу верчу запутать хочу
anonimb84a2f6fd141 31.12.2013 18:53 # 0
Операция подергивание? Или некто решил убить все не-cp1251 символы.
bormand 31.12.2013 19:00 # +1
anonimb84a2f6fd141 31.12.2013 19:05 # 0
bormand 31.12.2013 19:09 # +1
anonimb84a2f6fd141 31.12.2013 20:42 # −3