Python-сообщество
Форум сайта python.su
- Вы не вошли.
Уведомления
Группа в Telegram: @pythonsu
- Начало
- » Python для новичков
- » Проверка данных полученных от пользователя
![[RSS Feed]](/static/djangobb_forum/img/feed-icon-small.png "[RSS Feed]")
#1 Март 8, 2021 20:23:23
- FishHook
-
-
- От:
- Зарегистрирован: 2011-01-08
- Сообщения: 8312
- Репутация:
568 
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
izooomrudНу и ты ждешь, что тебе в две строки на сайте кто-то объяснит, как обезопасить сайт от всего опасного? По теме написано книг объемом с холодильник примерно, ты ждешь что тебе их сейчас процитируют?
что не понимаю как обезопасить бд от попадания в неё чего-то опасного
Офлайн
#2 Март 8, 2021 23:02:16
- py.user.next
-
-
- От:
- Зарегистрирован: 2010-04-29
- Сообщения: 9874
- Репутация:
854
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
izooomrudТы не обезопасишь БД потому, что 1) ничего не смыслишь в безопасности и 2) не знаешь, как устроена СУБД. Вряд ли тебя будут взламывать вообще. А если будут взламывать, то передай фронт работ по организации системы безопасности профильному специалисту/эксперту. Естественно, он тебе скажет “давай деньги и всё такое”, но это ты сам уже оцениваешь всё “стоит? не стоит? а что будет если …? а что будет если не если …?” и так далее. Самому тоже можно научиться всему. Но это, как с питоном. Многие новенькие в компьютерном мире думают, что питон - это такой маленький язычок для дебилов, и поэтому его можно так быстро выучить, как об этом часто заявляют из всех щелей Интернета. Очень мало кто из них может представить себе весь объём работы по изготовлению чего-нибудь, что они видят каждый день у себя в смартфоне или ещё где, что они купили в магазинчике уже готовое на блюдечке с голубой каёмочкой. Естественно, никто из них и представить не может себе, что питон, при среднем или глубоком погружении оказывающийся для них не таким простым, как в рекламных утверждениях от “экспертов”, и уже полностью загружающий их мозг одним своим ядром и библитекой, не является ключевым элементом даже наполовину при изготовлении небольшой программы. Питон ты можешь знать весь, а программа у тебя как не получалась, так и не получается. Чего-то не хватает. При этом им кажется, что это они просто питон ещё не доучили и что это поэтому у них не получается ничего. Вот так же и ты про безопасность думаешь. Обыватель думает “я спрячу пароль сейчас”, а ты крадёшь его печенье. Обыватель видит потом дефейс своей странички, который ты ему устроил в лучшем виде, и думает “мой пароль украли” и меняет пароль, а ты крадёшь его печенье. А он чо? А он не знает ничо. Он не знает, что есть печенье, и поэтому ты на шаг впереди него. Он ещё много чего не знает. Я встречался с этим, когда всё зашифровано всякими суперадминами, настоящими такими, а ты сидишь и читаешь всё это, половины не понимая, а ещё уроки делать надо (русский, географию, контурные карты), а ты не можешь оторваться, потому что если ты сейчас выйдешь, то обратно потом не зайдёшь уже.
И я обозначил - что не понимаю как обезопасить бд от попадания в неё чего-то опасного.
AD0DE412Да-да-да, вот об этом я и говорю. Ему казалось, что он умный, а оказалось, что он опять там не знает чего-то.
немного тематического флуда https://m.habr.com/ru/news/t/463679/Специалист по безопасности под ником Droogie решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборотDroogie надеялся, что новый номерной знак сработает как в классической карикатуре «Мамины эксплоиты» на КДПВ. По его расчёту, база данных увидит NULL и не сможет обработать никакую квитанцию на штраф. К сожалению, произошло прямо противоположное.
Сначала хакер получил штраф за нарушение правил парковки. Затем, когда определённая база данных выданных штрафов связала номерной знак NULL с его адресом, она отправила ему все остальные штрафные квитанции, у которых не было реального номерного знака. Общая стоимость штрафов составила $12 049.
Недавно школьник взломал Twitter. Что там в Twitter дураки сидят разве?
https://www.rbc.ru/crypto/news/5f27b1bd9a794787906483ed
У 17-летнего Грэма Кларка, обвиняемого во взломе Twitter-аккаунтов Илона Маска, Билла Гейтса и других бизнесменов и знаменитостей, имеется более $3 млн в биткоине. Об этом заявил адвокат подозреваемого, когда прокурор обозначил сумму залога за временное освобождение из-под стражи, передает Tampa Bay Times.https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
Стороны сошлись на залоге в $750 тыс., по $25 тыс. за каждое из 30 преступлений, в которых обвиняется Кларк. Прокурор подчеркнул, что по законам штата Флорида подозреваемый должен доказать законность средств, которые будут внесены в качестве залога, так как в этом есть сомнения.
Our next stepsБыла хорошая безопасность, но просадка по проникновению через людей - разновидность человеческого фактора - полностью выключила всю безопасность.
Rolling out additional company-wide training to guard against social engineering tactics to supplement the training employees receive during onboarding and ongoing phishing exercises throughout the year.
Офлайн
#3 Март 9, 2021 13:10:03
- PEHDOM
-
-
- Зарегистрирован: 2016-11-28
- Сообщения: 2196
- Репутация:
294
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
свежая новость в тему https://habr.com/ru/news/t/546052/
В конце февраля 2021 года девушка по имени Рэйчел Тру (Rachel True) пожаловалась в Twitter, что уже полгода не может воспользоваться своим аккаунтом в Apple iCloud. Облачная система одной из самой прогрессивных компаний в мире просто выкидывает пользователя при попытке подключиться к iCloud, выдавая ошибку с сообщением «Type error: cannot set value ‘true’ to property ‘lastName‘»
==============================
Помещайте код в теги:
[code python][/code]
Офлайн
#4 Март 12, 2021 18:05:43
- izooomrud
-
-
- Зарегистрирован: 2021-01-16
- Сообщения: 23
- Репутация:
0
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
Пздц, а я думал мне просто скажу - чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно на первое время, или еще там какую-то функцию к строке применить, а тут понеслось 
Офлайн
#5 Март 12, 2021 22:10:44
- py.user.next
-
-
- От:
- Зарегистрирован: 2010-04-29
- Сообщения: 9874
- Репутация:
854
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
izooomrudДа-да-да, а потом ты спросишь “а вот у меня чо-то на сайте стало выводиться всё экранированным, как мне это теперь убрать обратно? но чтобы оно и продолжало экранироваться для безопасности?”. Я и такое встречал тоже. Прямо в базе были записаны всякие хаки, которые для красивого вывода текста в html нужны. Теги записаны были прямо в базе данных вокруг данных.
а я думал мне просто скажу - чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно на первое время
Отредактировано py.user.next (Март 12, 2021 22:41:01)
Офлайн
#6 Март 13, 2021 11:33:29
- PEHDOM
-
-
- Зарегистрирован: 2016-11-28
- Сообщения: 2196
- Репутация:
294
- Профиль Отправить e-mail
Проверка данных полученных от пользователя
izooomrud тебе тут так не скажут, потому что все у кого тут хотябы 50+ сообщений взрослые дяди(тети) с каким-никаким опытом, и они понимают что сегодня они тебе скажут “чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно..” а потом у тебя база упадет так что не поднять, и ты придещь и скажешь “как же так, вы же гвоорили что этого достаточно..”
==============================
Помещайте код в теги:
[code python][/code]
Офлайн
- Начало
- » Python для новичков
-
» Проверка данных полученных от пользователя