RMCreative.ru - Блог Голосов: 1 Адрес блога: http://rmcreative.ru/feed/ Добавлен: 2008-06-12 21:34:00 блограйдером ZaiSL

Highload++ Junior 2015, отчёт

Вернулся из Москвы с конференции по нагрузкам, прошедшей в рамках РИТ++. Свой доклад, слайды которого можно полистать стрелочками на http://slides.rmcreative.ru/2015/horizontal-scaling-highload/, рассказал в первый день с самого утра. Получилось хорошо. Вопросы и обсуждения не прекращались все два дня.

Видео писалось, но в каком виде и когда оно будет доступно я не знаю. Спрашивайте у организаторов.

Конференция в общем вышла хорошей. Практически не вылезло наружу организационных промашек, очень занятные стенды, хороший состав докладчиков. Спасибо организаторам за то, что сделали всё это и пригласили выступить.

Перестаньте использовать mcrypt

Сегодня в очередной раз всплыла статья об распространённых ошибках при реализации шифрования. Сама по себе она ничего так, но местами учит плохому. А именно, использовать mcrypt.

Почему его не стоит использовать

mcrypt не обновлялся более десяти лет и не планирует. Авторы его забросили. В нём есть серьёзные недоработки.

И что делать?

Мы в Yii от него ушли в сторону OpenSSL, чего и вам советую. Реализовал переход, в основном, Tom Worster. У него есть серия интересных постов на тему.

Yii 2.0.4

Релизнули. Написал анонс на хабр. Он не очень подробный, так что буду рад раскрытию CHANGELOG с примерами там в комментариях.

Highload++ Junior

21 и 22 мая пройдёт конференция Highload++ Junior. Задумка её очень интересная — рассказать не очень подготовленным слушателям о том, как справиться с нагрузками. То есть от и до. Я буду рассказывать про горизонтальное масштабирование PHP приложений и всё, что с этим связано.

Yii 2.0 HP Fortify WebInspect SQL Injection: Blind

Знакомые попросили проверить отчёт сканирования приложения Yii 2.0 на безопасность. Среди прочего HP Fortify WebInspect нашёл "SQL Injection: Blind" по URL:

http://example.com/post/view?id=10%27%09and%091%09%3d%09if(5%3d5%2c%09sleep(200)%2c%090)%09and%09%271%27%3d%271

что расшифровывается как

`10'    and 1   =   if(5=5, sleep(2000),    0)  and '1'='1`

То есть классически закрыли кавычку и т.д.

Сделал тестовое приложение, запустил, получил страницу с постом с id = 10. То есть сканер среагировал на то, что нет ошибки или 404. Возможно, что SQL injection прошёл успешно.

Полез в код, там ничего особенного:

public function actionView($id)
{
    $model = News::findOne($id);
    if (!$model) {
        throw new HttpException(404);
    }
    return $this->render('index', ['model' => $model]);
}

Полез глубже и убедился, что параметр не вставляется в SQL. Используется prepared statement, всё как положено. Задумался.

Выполнил в консольке MySQL вот такое:

select * from post WHERE id = '10lalalallala';

Получил запись с id = 10 и вспомнил, что MySQL приводит строки к int-у почти как PHP. То есть, что бы мы не вставили после 10, MySQL переварит и не поперхнётся.

В итоге:

• С Yii всё хорошо.
• HP Fortify нашёл то, чего нет, и пометил как критическое.