- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
class core {
public static function txt($var){
$var = trim($var);
$var = stripslashes($var);
$var = str_replace("\00", '', $var);
$var = htmlspecialchars($var, ENT_QUOTES, 'UTF-8');
$var = str_replace("%", "\%", $var);
$var = str_replace("_", "\_", $var);
$var = iconv('utf-8', 'windows-1251', $var);
$var = iconv('windows-1251', 'utf-8', $var);
return $var;
}
public static function nik($id){
global $dbs;
$nick = $dbs->query("SELECT * FROM `users` WHERE `id` = '$id'")->fetch_assoc();
if(empty($nick)){
$us = '[Удален]';
}else{
$us = ($nick['onl']<time()-600?'<font color="red">[off]</font>':'<font color="green">[on]</font>').' <a href="/'.$nick['login'].'" style="color:black;"><b>'.$nick['login'].'</b></a>';
}
return $us;
}
/*.....и еще куча срани*/
Follow us!
P.S. Имена функций должны быть краткими, резкими и острыми как лезвие бритвы! shif()! nik()! txt()!
str_replace(array("a", "b"), array("aa", "bb"), $haystack);
>убери проверку IP на спамность.
Это можно а ты под каким ником зареган там ?
Один момент: т.е. ты хочешь сказать, что даже админ не видит паролей юзеров в открытом виде?
Если пароли хранятся в открытом виде - значит сайт написан долбоёбом. Обычно так не делают. И все что может сделать админ - сменить пароль на другой.
P.S. В идеале пароль не должен передаваться дальше клиентской машины. Но с этим обычно не заморачиваются.
>>Если пароли хранятся в открытом виде - значит сайт написан долбоёбом
Возможно ли получить доступ к базе данных извне?
ip менять не судьба?
ps/s я перепробовал 4 000 ip - все забанены.
-1000
>>Ты поди через прокси или тор туда лезешь? Тогда бан вполне заслужен
Нет, я очищаю кэш в браузере, переодеваюсь в женское белеь и надушившись и подкрасив половые губы захожу на сайты со своего ip.
Учитывая мое темное прошлое было бы по меньшей мере неразумно светить свой ip.
Ну собственно ССЗБ. Респект фильтру, почти все прокси режет ;)
а че ссать то
49.49.212.131
Меня переадресовывает на страницу с сылкой на сайт stopspam, якобы мой ip там в черных списках.
Седня уже пьян.
Your IP 95.211.226.36 has been unblocked. Please try visiting website again in 1 minute.
ЧЯДНТ?
Фактически это тебе: -1000 С Новым Годом, блин.
)
Этот урод зарегал такую учетку специально, чтобы подразнить меня ;) Но я благодарен ему, т.к. если я не нарушу своих слов - я не регистрировался, мне дали готовую учетку.
ЩИТО?
>Нет неспамных айпей
Терпи.
Если админ не долбоеб, и не выставил порты наружу - нет. Но еще же есть шанс подобраться к ней изнутри, через уязвимости в коде сайта. Ну и человеческий фактор никто не отменял.
Вспомни, часто же в новостях пишут, что с какого то сайта сперли базу логинов и паролей...
Вконтакте года до 2009-2010 позволял получить пароль на мыло. Не сбросить, а получить.
Выходит, что Дуров облегчил работу спецслужбам на случай, если у интернет-провайдера СОРМ-3 не установлен.
А не по их ли заказу он создал вк? Когда стадо в куче, за ним легче наблюдать. Можно контролировать каждый свой шаг в соцсетях, не писать лишнего, не публиковать личных данных - но это превращается в пытку уже через пару часов. Можно писать что угодно, публиковать что угодно, не опасаясь санкций со стороны администрации - но может настать тот роковой день, когда твоя анкета будет вскрыта по требованию спецслужб - тогда тебе не поздоровится.
Я думаю, ты преувеличиваешь финансовые возможности рашкинских аналогов АНБ. Имхо их бюджет по сравнению с доходом дурова смешен.
http://www.php.net/manual/ru/migration54.incompatible.php
И ещё несколько раз отменяли поддержку некоторых видов говнокода.
man bcrypt, scrypt, соль.
Поэтому во-первых обязательно использовать соль (salt) - небольшой набор рандомной херни, который сделает все хеши разными. После чего взломщик обломается с параллельным перебором и радужными табличками, и ему придется подбирать каждый пароль по отдельности.
Во-вторых надо считать много итераций хеш-функции и правильно комбинировать их друг с другом: 1000 итераций пользователь даже не заметит, а взломщику придется курить в 1000 раз дольше.
Один из годных алгоритмов: http://ru.wikipedia.org/wiki/Bcrypt. В последних пыхах он, емнип, даже есть из коробки.
На крайний случай можно поюзать что-нибудь в духе - salt . '|' . sha1(salt . sha1(password)).
Говнокод образовательный)
PBKDF2 еще, по идее, можно поюзать. Оно реализуется строчек в 5, если есть изкоробочное sha.
З.Ы. В стиме вообще RSA. Как я понял - они даже своим фронтендам не доверяют, и это рса шифрует на ключ сервера аутентификации.
И на этом вопрос закрывается. Суть SRP - клиент не должен доверять серверу, его пароль никогда не попадает в плейнтексте на сервер.
>В стиме вообще RSA.
Вопрос еще в том, как оно реализовано. В какой-то версии своего SRP близзарасты ухитрились перевернуть байты в модуле, простое число наверняка стало непростым.
Ну, собственно, в том же самом таятся грабли во всяких там "безопасных шифрованных чатиках", в которых шифрование идет на стороне js. Вроде бы сейчас все честно, но кто знает, что-за скрипт сервак подбросит завтра...
Смысл SRP - не нужно доверие к серверу, на случай, если он окажется или фальшивым, или злонамеренным/взломанным. Очевидно, что js криптография этому условию не соответствует и поэтому идет нахер в принципе.
А я разве спорю? Я просто дополнил этот факт тем, что любая другая криптография на жс тоже идет нахер по той же самой причине.
В идеале SRP нужно проводить в уме или на специализированном приборчике в духе смарткарты ;)
Ну как-то так. Чтобы "карту" можно было спокойно менять, если она сгорит.
Пойду троллить на форум, что ли. Счастливо оставаться!..
И тебе счастливо. Можешь на локалхосте форум поднять и там троллить.
Надо Борманду с wvxvw и товарищами собраться и выдавать уже дипломы (говно)кодеров за посещение сайта.
Я с удовольствием помогу в синтаксисе и либах шарпа, если кому то понадобиться. Это коммуна программистов)
Как обращаться из потоков к элементам гуя? Я понимаю так, что для каждого метода гуя нужно писать потокобезопасный прототип, который и будет вызываться. Но нельзя ли примерчик? тока не с мсдн - там вообще пипец. Чтобы не захламлять эту тему, можешь ответить в любой из старых тем, или не отвечать.
Хотя можно и тупее - отрубаем у контролов проверку каким потоком они юзается
Но это черевато.
По умному - юзать continuations. Но это уже не от языка зависит.
За такое надо руки отрубать. Зачем они вообще это свойство сделали?
и как в нем замешан тарас...
Это то, чем занимаются пыхеры, расставляя подавление ворнингов:> как в нем замешан тарас
Рискну предположить - никак.
http://ok.ya1.ru/uploads/posts/2010-02/1266488067_p5-3-060110-212847.jpg
Знакомый базар. Видимо Тарас производит впечатление успешного управленца.
http://govnokod.ru/13183#comment182035
> шифрование пароля, - очень прочное
Ну здесь у автора кода все-таки был проблеск разумности, и он все-таки додумался вынести хеширование в отдельную функцию, реализацию которой можно поменять. Обычно все еще печальней - md5(), рассеянные прямо в коде, или вообще plain-text пароли.
Кручу верчу запутать хочу
Операция подергивание? Или некто решил убить все не-cp1251 символы.