Śmierć klawiaturze

Skrypty prawie doskonałe, czyli mądrzenia się część pierwsza (liczebnie: 1)

Dominik Bednarczyk — Sat, 29 Sep 2007 22:06:52 +0000

Przez kilka lat pracy przy systemach internetowych odkryłem niebezpieczną, choć zrozumiałą modyfikację zasady “braku zaufania do użytkownika” w stosunku do osób, na których zamówienie system był pisany - jeżeli piszesz program, którym zarządzać będzie Twój klient, np CMS do jego strony internetowej, zakładasz, że nie będzie w jego interesie “zniszczenie” własnego programu. Skupiasz się przede wszystkim na tym, aby internauta wchodzący na stronę Twojego klienta nie mógł uzyskać dostępu do panelu administracyjnego, ani nie spowodował żadnych szkód świadomym lub nieświadomym działaniem. Zaoszczędziłeś pracy, masz zadowolonego klienta, w niedzielę dostajesz SMSa, że “coś nie działa..” - uniknijmy tego aby w niedzielę bez stresu leczyć się po sobotnim wieczorze. (more…)

Nie ufaj przeglądarkom (w nawiasie - sobie)

Dominik Bednarczyk — Mon, 24 Sep 2007 10:50:07 +0000

Ataki polegające na modyfikowaniu żądań przesyłanych przez przeglądarkę do programu na serwerze to chyba najpopularniejsza metoda próby popsucia humoru programistom. Sam testując nowy serwis / portal internetowy, pierwsze co robię to podmiana wartości zmiennych przesyłanych w URL - dodaję apostrofy lub cudzysłowy, zwiększam zmienne liczbowe ponad wartości graniczne, cuduję ile wlezie. Jak mi się uda - udając skromność i chłodny profesjonalizm wspominam o tym “przy okazji” komu się da. Jak sie nie uda, nie wspominam, że w ogóle próbowałem, “bo po co?”. Mina mi szybko rzednie, gdy się okazuje, że po raz kolejny pod latarnią najciemniej. (more…)

Warunki w funkcjach w SQL

Dominik Bednarczyk — Thu, 20 Sep 2007 13:58:14 +0000

Już dawno temu odkryłem potęgę funkcji warunkowych w SQL, tak dawno, że zapomniałem czemu uważam je za potężne. Odświeżyłem sobie tę wiedzę podczas rozwiązywania problemu statystyk, a przybliżę ją Tobie na przykładzie forum. Pytanie brzmi: jak optymalnie pobrać i przetworzyć dane z funkcji agregujących pochodzące z kilku tabel (tłum. fajnie by było jakbym widział kto i ile razy wypowiadał się w jakich tematach i żeby serwera nie zamuliło). (more…)

“Click to activate and use this control”

Dominik Bednarczyk — Tue, 18 Sep 2007 17:07:00 +0000

Microsoft Internet Explorer miał okazję stać się najlepszą przeglądarką wszechświata i okolic, niestety inni zaczęli produkować przeglądarki mniej zgodne ze standardami Microsoft, a bardziej z tymi wspieranymi przez konsorcjum w3c. Po instalacji nowej przeglądarki IE 7 bardzo “ucieszyła” moją klawiaturę wiadomość o tym, że do każdego obiektu zamkniętego w znaczniki lub William zdecydował się dodać małą, kropkowaną obwolutę, która oprócz paskudnego wyglądu i napisu w jakimś obcym języku blokuje zdarzenia myszki i klawiatury wywoływane na obiekcie. Może jest w tym jakiś sens, jednak zwiększenie mojego poczucia bezpieczeństwa jako internauty szybko znikło, gdy policzyłem sobie ilu moich klientów będzie musiało za każdym razem click by activate i use mój control… (more…)

Znacznik <script> w XSL

Dominik Bednarczyk — Tue, 18 Sep 2007 16:07:35 +0000

Próbowałeś kiedyś wstawić w XSL kod JavaScript? Problem polega na tym, że po zamknięciu kodu JS w tagi i przepuszczeniu takiego XSL-a przez procesor XSL zainstalowany domyślnie w PHP5, Twoj kod JavaScript zostanie zamknięty w znaczniki , co spowoduje wyświetlenie błędu JavaScript oraz chęć uderzenia w klawiaturę. Jeżeli masz wystarczająco dużo cierpliwości i wytrzymałą klawiaturę dojdziesz do wniosku, że należy zastosować trik w postaci “wstrzyknięcia” znaczników