- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
function tuc1($mensaje)
{
if (ereg("^[a-zA-Z0-9\-_ ]{1,255}$", $mensaje))
{
return $mensaje;
}else{
echo "Сука тебе пиздец мразь,айпи записан менты уже едут.А пока пшел нахуй отсюда.";
include('footer.php');
exit();
}
}
$stana=trim(htmlentities(stripslashes(tuc1($_GET["p"]))));
bormand 12.08.2014 05:11 # 0
Lure Of Chaos 12.08.2014 05:58 # 0
bormand 12.08.2014 06:13 # 0
guest 12.08.2014 06:16 # 0
Lure Of Chaos 12.08.2014 08:18 # 0
bormand 12.08.2014 06:18 # 0
https://translate.google.com/#es/ru/mensaje
Lure Of Chaos 12.08.2014 08:05 # −1
kegdan 12.08.2014 10:42 # −2
Lure Of Chaos 12.08.2014 13:16 # −1
Vasiliy 12.08.2014 14:00 # 0
Мистер Хэнки 13.08.2014 10:28 # −1
gost 12.08.2014 12:39 # +1
kegdan 12.08.2014 13:06 # −2
ноль деленный на 3 ноля = треть ноля
Elvenfighter 12.08.2014 13:58 # −2
kegdan 12.08.2014 14:45 # −2
guest 12.08.2014 15:00 # −2
kegdan 12.08.2014 15:02 # −2
учи алгем
gost 15.08.2014 18:55 # 0
guest 12.08.2014 14:24 # −1
Vasiliy 12.08.2014 15:01 # −2
wvxvw 12.08.2014 16:26 # +1
roman-kashitsyn 12.08.2014 16:37 # +3
kegdan 12.08.2014 17:06 # −2
À la guerre comma à la guerre
Когда твой друг в крови,
Будь рядом до конца.
http://www.youtube.com/watch?v=BDLkGBH38gs
eth0 12.08.2014 18:00 # −1
inkanus-gray 12.08.2014 20:29 # −1
eth0 12.08.2014 20:39 # −1
inkanus-gray 12.08.2014 20:40 # −1
eth0 12.08.2014 20:46 # 0
Да, grep тут не поможет.
bormand 12.08.2014 20:45 # −1
Ну не так уж и глупо. Логи со всеми параметрами не раз помогали в разборе полётов. Правда писал я их не апачем.
> Во-вторых, небезопасно.
Ну у меня в одном json-сервисе параметры, содержащие "password", логируются как ********. А какие еще могут быть уязвимости помимо засветки паролей в логе и засирания диска?
eth0 12.08.2014 20:50 # −1
Пост-переменные это не только пароли. Это ещё и ценный мех.
Для разбора полётов стоит подумать о чём-то более естественном. xdebug, тащемта, если сервер отладочный.
В плане же рассматриваемого вопроса, журналировать все переменные только для того, чтобы узнать, почему хакер ввёл русскую букву или апостроф - ад угара.
bormand 12.08.2014 21:01 # 0
Ну зависит от нагрузки и ответственности тащемта.
В данном случае json rpc демон, работающий на правах бога-из-машины. Умеет запиливать/выносить юзеров, дропать базы и т.п. Вызывается он совсем не часто. А вот если забагует - очень хотелось бы знать, когда и почему. Поэтому там все запросы/ответы полностью логируются.
> это не стопроцентно надёжно
В моем случае - сойдет. На крайний случай лог можно писать на удаленную машинку, которой можно доверять, или хотя бы дать права только на append.
eth0 13.08.2014 19:12 # −1
guest 12.08.2014 18:14 # +10
ПОЦОНЫ НЕ ПРИНИМАЙТЕ ТАКИЕ GETЫ У МИНЯ ТАК ХОСТИНГ УМЕР МУSQL РАЗВАЛИЛАСЬ ПИШУ С ПХП
anonimb84a2f6fd141 14.08.2014 16:41 # −4
anonimb84a2f6fd141 14.08.2014 16:44 # −6
anonimb84a2f6fd141 14.08.2014 16:44 # −5