Facebook Full Disclosure

Как сказал один очень уважаемый мною человек на тему повторных sql injection в известных проектах: "Проблема глобальнее - ошибка не в скриптах, а в ДНК некоторых людей!" :) Что тут можно еще добавить...


Следуя пословице, что уязвимость никогда не приходит одна рядом светится blind SQL injection.

Далее - проблема широких привилегий:



that's all?

источник: sla.ckers.org
Автор: от

7 комментариев :

  1. j22 июля 2010 г. в 12:52

    http://www.rian.ru/technology/20100722/257273831.html

    Анализ я так понимаю идет полным ходом? :)

    ОтветитьУдалить
  2. Dmitry Evteev22 июля 2010 г. в 13:56

    забавно :)

    ОтветитьУдалить
  3. Unknown22 июля 2010 г. в 21:38

    это вроде просто одно из тысяч приложений фейсбука. сам сервер не фейсбука.

    ОтветитьУдалить
  4. Qwazar22 июля 2010 г. в 23:52

    Уходить от пхп надо разработчикам настолько крупных проектов и 90% проблем исчезнут сразу, т.к. не все языки позволяют писать настолько криво.

    Хотя и в пхп недавно появилось PDO, с учётом того что MySQL от 4.1 поддерживает Prepeared Statements - можно избавиться от всех инъекций в проекте.

    В общем нет у них культуры программирования + неадекватные инструменты для таких масштабов, вот и лезут банальности отовсюду.

    ОтветитьУдалить
  5. Dmitry Evteev23 июля 2010 г. в 12:35

    я полагаю сложно и дорого им станет переписать все на другой язык...

    ОтветитьУдалить
  6. Qwazar23 июля 2010 г. в 12:56

    Ну это понятно, ранние ошибки дороже обходятся, в частности ошибка с выбором языка. Но даже без этого видно, что у них скорее всего нет единого интерфейса доступа к БД, т.к. если бы был, то достаточно было бы пофиксить одну функцию, и большая часть ошибок исчезает как класс.

    ОтветитьУдалить
  7. Dmitry Evteev23 июля 2010 г. в 13:48

    это верно

    ОтветитьУдалить