Mass Assignment в RoR.
Февраль 4, 2010
Mass Assignment (массовое назначение) является причиной уязвимостей сайтов на rails с момента появления фреймворка на свет. О�?ибка программиста, как зачастую это бывает, сводится к отсутствию проверки входных параметров.
Для примера создадим простенькое приложение
$ rails massVul $ cd massVul/ $ script/generate scaffold user name:string admin:boolean
Таким образом мы создадим основу для приложения с пользователями, в которой можно указать имя в поле name, а также есть поле admin, которое легко использовать при разграничении прав пользователей. К примеру запросом, является ли этот пользователь администратором, и если да, то позволяются ему определенные действия. Конечно, мы не настолько глупы чтобы позволять обычным пользователям ставить галочку, поэтому мы правим на�? вид и удаляем все что связано с галочкой admin. далее »
Sfitex, удиви меня!
Октябрь 18, 2008
Уфф, неделя выдалась нелегкой. В среду сдал на права: не верьте, если вам говорят, что вы неспособное существо и без подачки на лапу экзамен для вас закончится быстрее, нежели обычно за счет предложения прийти через неделю-другую. Выгоняли всех! �? тех, кто не платил (таковых было 2е) и тех, кто платил (12). Делайте выводы, гарантирует ли подачка сдачу с первого раза или нет. Могу с уверенностью и кро�?ечным самодовольством, причмокивая и растянув�?ись в �?ирокой улыбке, сообщить, что сдать экзамен не заплатив взятки РЕАЛЬНО (есть оговорка, я был единственным).
Собственно о чем я, как и договаривался с товарищем начальником о работе после сдачи на права, так и случилось. Первым квестом была поездка на выставку «SFITEX 08»: «XVII международная выставка ОХРАНА и БЕЗОПАСНОСТЬ , более 300 отечественных и зарубежных компаний-участниц, более 22 000 посетителей из 151 российского города и 32 стран мира», — цитата с банера). далее »
