Xelion 0 Опубликовано Суббота в 19:02 Наткнулся на тему, но возможно что-то не понимаю т.к. самоучка, но судя из статьи становиться ясно что можно защитить от инъекций не только с помощью программы gradle, но и другим способом как этот на Хабре. Для тех кто в ладах с пхп им не составит труда переписать запросы например в том же SW. А ещё проще напряч извилины и понять gradle. https://habr.com/ru/articles/148701 Правила, соблюдение которых гарантирует нас от инъекций данные подставляем в запрос только через плейсхолдеры идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Saltfire 98 Опубликовано Воскресенье в 03:56 (изменено) Фантазёр - ты меня называла! Ты вообще статью прочитал до конца, или только заголовок схватил и решил, что Gradle - это волшебная таблетка от инъекций для всего мира? Статья-то про автоматизацию билда в Java/Android-проектах: Gradle парсит статические SQL - файлы и генерирует безопасный код с PreparedStatements. Это не "программа для защиты", а инструмент для JVM - экосистемы. Для PHP (где ты, видимо, копошился) такое не катит - там PDO/MySQLi или Doctrine ORM, а не Gradle. Переписать "запросы" в SW? Серьёзно? Это как лечить грипп аспирином от зубной боли. Если бы ты напряг извилины (как сам предлагаешь), понял бы, что Gradle - это билд-система, а не универсальный антивирус. В PHP для защиты используй плейсхолдеры, а не пытайся "адаптировать" Java-инструменты. Или просто признай, что не в теме, и не мурыжь форум бредом. А то выглядишь как тот, кто учится программировать по мемам в TikTok. Читать умеешь - учись, а не фантазируй. Изменено Воскресенье в 03:59 пользователем Saltfire Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Xelion 0 Опубликовано Понедельник в 19:42 Да нет просто облазил форум вдоль и поперек касаемо l2 и все ходят по одним и тем же граблям пытаясь что-то придумать или переделать внести свое или написать с нуля в частности касаемо веб-обвязок. И да gradle если не понять является отличной программой для защиты методом отправки xml запросов при определенных условиях. Суть вся в том что многие сидят на SW который на самом деле корявый, дырявый со снятой привязкой, но есть CMS в архиве которой находилась система gradle. На форуме много тем созданных новичками или тех кто не понимает до конца за что взялся, а желающих подсказать особо нет. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Xelion 0 Опубликовано Понедельник в 19:45 (изменено) В 28.09.2025 в 00:02, Xelion сказал: Наткнулся на тему, но возможно что-то не понимаю т.к. самоучка, но судя из статьи становиться ясно что можно защитить от инъекций не только с помощью программы gradle, но и другим способом как этот на Хабре. Для тех кто в ладах с пхп им не составит труда переписать запросы например в том же SW. А ещё проще напряч извилины и понять gradle. https://habr.com/ru/articles/148701 Правила, соблюдение которых гарантирует нас от инъекций данные подставляем в запрос только через плейсхолдеры идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде. Сделал краткую информацию для общего понимания о gradle. На самом деле тема большая, но кто захочет тот найдет дополнительную инфу самостоятельно. Gradlew: система автоматизации процесса создания проектов из исходного кода в виде пакетных JAR-файлов. *Пример: веб-приложение. XML-RPC: протокол удаленного вызова процедур RPC, выполняющий передачу данных в кодированном виде используя формат XML и HTTP протокол для передачи между клиентом и сервером. Взаимодействие: Клиент отправляет XML-запрос на сервер, который выполняет указанную функцию и возвращает результат в формате XML. Применение: XML-RPC является основой взаимодействия между различными системами, например, для взаимодействия мобильных приложений с веб-серверами. Изменено Понедельник в 19:50 пользователем Xelion Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Xelion 0 Опубликовано Понедельник в 20:37 (изменено) Облазил форум вдоль и поперек касаемо CMS. Каждая тема двигала меня к находке того что я искал. Ходить по одним и тем же граблям перебирая разные версии одних и тех же CMS то ещё занятие. Многие пытаются переделать то что из шары, внести поправки и в конечном итоге хотят продать. Gradle является отличной программой для защиты методом отправки xml запросов при определенных условиях - этот вопрос еще актуален! Суть вся в том что большенство использует шару SW, который пинают с лохматых годов, но есть другие неплохие компактные CMS. Для минималки и реализации веб части под игровой сервер Gradle это находка. Наткнулся на одну CMS в архиве которой находилась gradle и мне стало интересно как она связана с CMS и какую выгоду из этого я могу извлеч. На форуме много тем созданных новичками или тех кто не понимает до конца за что взялся, а желающих подсказать особо нет. Потому хочу посадить семечеку таким образом... Надеюсь что эта информация пусть и не полная, но поможет тем у кого остались вопросы на защиты от SQL-инъекций Изменено Понедельник в 20:39 пользователем Xelion Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Xelion 0 Опубликовано Понедельник в 20:44 (изменено) 1 час назад, Xelion сказал: Да нет просто облазил форум вдоль и поперек касаемо l2 и все ходят по одним и тем же граблям пытаясь что-то придумать или переделать внести свое или написать с нуля в частности касаемо веб-обвязок. И да gradle если не понять является отличной программой для защиты методом отправки xml запросов при определенных условиях. Суть вся в том что многие сидят на SW который на самом деле корявый, дырявый со снятой привязкой, но есть CMS в архиве которой находилась система gradle. На форуме много тем созданных новичками или тех кто не понимает до конца за что взялся, а желающих подсказать особо нет. Конечно Gradle не защита, но она использует протокол XML-RPC и позволяет автоматизировать процесс и не только. Изменено Понедельник в 20:49 пользователем Xelion Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
zGosu 396 Опубликовано вчера в 05:03 По поводу sql-инъекций я использую такой метод защиты (защита на стороне базы данные, а не приложения): Создаю отдельного пользователя базы данных, который будет использоваться в моем приложении. Ограничиваю ему права на прямое обращение к всем таблицам (INSERT, UPDATE, DELETE, SELECT). В приложении обращение к базе данных делаю только через нужные приложению функции и хранимые процедуры, по остальным объектам права забираю. Создаю нужные мне функции и процедуры, которые будут вызывать нужные мне запросы (внутри объекта вызов будет от другого пользователя с большими правами). Стараюсь нигде не использовать формирование динамического sql-запроса. Таким образом даже при наличии в приложении уязвимости, злоумышленник ничего не сможет сделать, так как при попытке что-то сделать с таблицами ему будет возвращаться ошибка вида "объект не существует или нет доступа". Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
