Кто-нибудь исправит когда-нибудь?

0

0

Запарили уже вечные

=== cut ===
String index out of range: 34
К сожалению, произошла исключительная ситуация при генерации страницы.

Произошла непредвиденая ошибка. Администраторы получили об этом сигнал.
=== cut ===

на любое более-менее сложное сообщение.

В данном случае оно отваливается на таком примере: http://snipt.org/Qph

Ссылка

←	Хочу его забанить.

по поводу score

→

Убери кавычки от урла или убери Aurourl

http://www.linux.org.ru/jump-message.jsp?msgid=2713241&cid=2714463 подробности

~~wfrr~~ ★★☆
(04.04.09 22:07:45 MSD)

Ответ на: комментарий от wfrr 04.04.09 22:07:45 MSD

Ага, работает.

Но косяк. Кстати, через него инъекцию никакую провести нельзя? ;)

~~KRoN73~~ ★★★★★
(04.04.09 22:10:31 MSD) автор топика

Ответ на: комментарий от KRoN73 04.04.09 22:10:31 MSD

та вроде не, этож ява, в ней чтото вообще сложно провести, не то что иньекцию

Щас сорцы открыли можно глянуть код что в преформаттед рассавляет урлы, косяк в нем.

~~wfrr~~ ★★☆
(04.04.09 22:12:35 MSD)

Ответ на: комментарий от wfrr 04.04.09 22:12:35 MSD

По логике весчей вылетает тут http://github.com/maxcom/lorsource/blob/ffb910b46e1eda1de80bc116ac5551c31dd68...

~~wfrr~~ ★★☆
(04.04.09 22:39:18 MSD)

Ответ на: комментарий от wfrr 04.04.09 22:12:35 MSD

>та вроде не, этож ява, в ней чтото вообще сложно провести, не то что иньекцию

От языка это мало зависит. Больше от библиотек.

Мой опыт в Java показывает, что там программисты имеют привычку писать так, как в конструкторе Message в http://github.com/maxcom/lorsource/blob/ffb910b46e1eda1de80bc116ac5551c31dd68...

И сам так писал :) Hibernate или Ibatis мы в своё время так и не собрались прикрутить, очень сильно нужно было классы базовые рефакторить. А свой ORM так и не слепил.

А в том же PHP ORM лепится на коленке за пару дней и больше прямые SQL-запросы практически нигде не используются :)

...

Я уже не помню, когда в новом PHP-коде на своих проектах использовал SQL-запросы :)

Как следствие, в моём PHP-коде мест для иньекции нет уже несколько лет как. А на практике с таким не сталкивался ни разу. А вот на Java мы пару раз SQL-инъекции зевали. Правда, этого никто не заметил до исправления, но факт есть факт - было :)

~~KRoN73~~ ★★★★★
(05.04.09 10:50:37 MSD) автор топика

Ответ на: комментарий от KRoN73 05.04.09 10:50:37 MSD

В препаредстейтмент иньекцию не засунуть, как и если забивать резалтсет полученный от селекта.

~~wfrr~~ ★★☆
(05.04.09 10:59:18 MSD)

Ответ на: комментарий от wfrr 05.04.09 10:59:18 MSD

>В препаредстейтмент иньекцию не засунуть

Угу. Вот только там, когда у тебя подставляется не один параметр, а два десятка, легко промахнуться с порядком параметров. И поэтому часто пишут так, как на приведённой ссылке ;)

...

В любом случае, это всё равно прямые SQL-вызовы и это очень плохо.

~~KRoN73~~ ★★★★★
(05.04.09 11:11:25 MSD) автор топика

Ссылка

Ответ на: комментарий от wfrr 04.04.09 22:39:18 MSD

http://github.com/maxcom/lorsource/blob/ffb910b46e1eda1de80bc116ac5551c31dd68...

Тут ищется конец ентити и не проверяется выход за границы строки, т. е., ентити всегда полагается завершенным. Судя по тесту на сообщении топикстартера, это не всегда так.

svr69 ★★
(07.04.09 01:47:48 MSD)

Ссылка

fixed

maxcom ★★★★★
(07.04.09 18:31:52 MSD)

Ответ на: комментарий от maxcom 07.04.09 18:31:52 MSD

http://ru.wikipedia.org/LOR_(work)_а_русские_буквы?

http://линукс.орг.рф/ в имени домена не работают!

~~wfrr~~ ★★☆
(07.04.09 18:47:49 MSD)

Ссылка

Ответ на: комментарий от maxcom 07.04.09 18:31:52 MSD

>fixed

Вот и прямая польза от открытия сорцов... А то сколько лет я на эту проблему ругался :)

~~KRoN73~~ ★★★★★
(07.04.09 19:56:03 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Хочу его забанить.

Linux-org-ru

по поводу score

→

Похожие темы