Archive

Posts Tagged ‘sql’

Webdeveloperii din Romania

December 15th, 2008 Andrei Ruse 10 comments

Webdeveloperii din Romania   Image: sqlinjectionSaptamanile trecute am discutat cu cineva, pentru o posibila colaborare in PHP. Adica eu sa ii fac respectivului niste aplicatii. Recomandarea a venit de la skreach, pe care l-as ruga sa isi reconsidere parerea despre cei cu care lucreaza. Cu atitudinea pe care au avut-o, cu siguranta nu sunt cei mai tari.

Discutia a fost clara pe limbajul PHP, cu baze de date, si fisiere. Raspunsul a fost:  “iti voi trimite maine un contract de confidentialitate, ni-l trimiti semnat, si iti trimito descriere a primului proiect“. Am asteptat o zi, i-am atras atentia tipului ca a uitat. Faza a continuat vreo 5 zile, in care eu ar fi tot trebuit sa astept acel contract. Teoretic, daca eram ‘mai adult’, si ma bazam pe un singur job (cel pentru care vroiam colaborarea), muream de foame.

Discutia finala: Aaaaa, pai CSS stii? Si Javascript? Nu? Pai imi pare rau, eu sincer dupa asta ma uitam.

Acum trag eu concluziile mele: Ca project manageri / human resources manager, astia sunt prosti. Clar. De ce? La o scurta vizita pe hackersblog, va lamuriti clar de ce va trebuie programatori php, si nu desgneri. In momentul cand codul php trece prin putine perechi de ochi, este destul de probabil sa fie SQLi vulnerable, XSS vulnerable, sau alte chestii.

Desi e usor sa scrii in formatul $username=htmlspecialchars(mysql_real_escape_string($_POST['username']));  , din cate observ pe net, relativ putini o fac. Daca un site gen GSP.ro, care se presupune ca are buget ok, e SQLi vulnerable cu nesimtire, pai ce sa mai zicem la site-urile mici?

Cateva alte erori banale pe care le-am descoperit:

  • Exista login.php, care daca user&pass sunt corecte, trimit in alta pagina. Celelalte pagini NU verifica nimic gen sesiune. Daca stii url-ul lor, intri direct. Astazi de la scoala am intrat asa in adminul site-ului unei firme. Din greseala pot spune, dar m-am distrat. produse.php era fisierul care mi s-a deschis prima oara,si care avea un meniu frumos pentru restul paginilor.
  • Exista login.html , in care un cod JavaScript verifica username si parola. Eventual codul JS encodat, ca sa ai de ce sa faci o vizita aici.
  • Exista login.php, care face verificarea in baza de date, dar in baza de date exista username “” si password “”. Astfel nu mai trebuie sa te obosesti sa completezi nimic; pur si simplu dai enter. Am vazut aceasta eroare pe una din aplicatiile de la mine din liceu, pe care niste designeri au primit bani seriosi sa o faca. Penibil. De ce nu le-or cere elevilor, nu stiu. :|

Pana una alta, sustin parerea, si concluzionez astfel post-ul. Nu mai cautati designeri, daca nu vreti sa va faceti de cacao masiv. Mie nu mi-a zis nimeni ca site-urile/aplicatiile facute de mine arata naspa. In schimb, ABSOLUT NICI UNA nu a fost sparta pana acum. Si in limita posibilitatilor, cu ajutorul lui Cosmin & altii,au fost testate cat de cat.

WWW SQL Designer

October 30th, 2008 Andrei Ruse 3 comments

Daca nu mai postez nimic despre viata mea zilele astea (ptr ca nu mai am viata), dau link-ul unui site, care mie mi s-a parut genial. Ce face? Te lasa sa construiesti grafic o baza de date sql, cu legaturi cu tot. Codul poate fi scos compatibil cu vreo 4 tipuri de sql, si importat.

O singura eroare am gasit,si anume ca poti defini un camp ca ENUM, insa mysql nu ti-l accepta gol (logic), si nu iti creaza tabela respectiva pana nu ii dai si optiunile ptr acel ENUM.

Link: http://ondras.zarovi.cz/sql/demo/

Si un demo, facut de mine in ~5 minute:

WWW SQL Designer   Image: catalog sql 300x172

Categories: Uncategorized Tags: database, designer, ICHB, mysql, sql, tech

Lansare Windows Server 2008

March 21st, 2008 Andrei Ruse No comments

Am dat pe BrainTV de un filmulet – singurul care m-a interesat in ultima vreme – in care unu` vorbeste de lansarea Microsoft Windows Server 2008 (ICHB il are pe 2 servere, si se comporta anormal, si anume nu functioneaza clusteringul dintre ele…nu se sincronizeaza Active Directory), Microsoft SQL Server 2008, si Visual Studio 2008.

Lansarea va fi la/a fost la  Romexpo – cica pe 20 martie, si m-as fi dus, dar am avut un morcov mare din cauza scolii. Cica “Analistii de IT il considera la fel de important ca aparitia primei versiuni a acestui produs”. O fi, dar computerul meu tot cu 2003 merge mai bine (am incercat 2008 in VmWare, si era stresat rau)

Read more…

SEO Powered by Platinum SEO from Techblissonline