https://www.opennet.ru/openforum/vsluhforumID3/110750.html В Moodle (https://moodle.org) (Modular Object-Oriented Dynamic Learning Environment), свободной модульной системе для организации дистанционного обучения, выявлена (http://netanelrub.in/2017/03/20/moodle-remote-code-execution/) критическая узявимость (https://moodle.org/mod/forum/discuss.php?d=349419) (CVE-2017-2641 (https://security-tracker.debian.org/tracker/CVE-2017-2641)), позволяющая осуществить подстановку SQL-кода и организовать выполнение произвольного PHP-кода на сервере. На основе Moodle построены обучающие системы многих известных университетов. В каталоге Moodle (https://moodle.net/sites/) зарегистрировано более 78 тысяч обучающих сайтов, в том числе 2160 в России, 655 - Украине, 151 - Беларуси и 116 - Казахстане. <br><br><br>В ветке Moodle 3.2 уязвимость могут эксплуатировать зарегистрированные пользователи через манипуляции с настройками профиля пользователя в web-интерфейсе. В более ранних выпусках атака возможна только через API для взаимодействия в web-сервисами при наличии соответствующих расшир https://www.opennet.ru/openforum/vsluhforumID3/110750.html#36 Fri, 24 Mar 2017 11:19:20 GMT Непонятно с чего оппонент пытается выдать PDO за честные prepared statements, хотя "be aware that PDO will silently fallback to emulating statements that MySQL can't prepare natively". Похапе - не просто г-но, хуже того, это ВНЕЗАПНО не работающее г-но.<br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#34 Thu, 23 Mar 2017 22:12:14 GMT &gt; Для пользования хранимками нужна хорошая СУБД умеющая нормально работать с курсорами <br>&gt; и итераторами<br><br>Почитайте на досуге К.Дж.Дейту. До просветления. Ну, или попейте капель для изгнания из организма кривых паттернов. <br><br>&gt; Во-вторых, не каждый вид деятельности удобно засовывать в хранимки, например различные <br>&gt; часто меняющиеся аналитические запросы.<br><br>У кого вообще может хватить ума дать публичный доступ к базе для произвольных запросов? Сам в свою - сколько угодно, но когда это продукт для других - за такое надо гнать из профессии. <br><br>&gt; Так, например, prepared запрос, или вызываемый из хранимки, пессимизируется. <br><br>Фейспалм.тхт<br>Ну почитайте же хоть что-нибудь о хранимых процедурах!<br><br>&gt; Если заставить php'шника унести логику в хранимки, то проблемы просто переедут в хранимки.<br><br>Потому что нельзя похапешника пускать с немытыми ногами в РСУБД. ДБА должен выкатить АПИ из хранимых процедур, и этим все взаимодействие похапешников с базой должно быть ограничено. <br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#33 Thu, 23 Mar 2017 21:23:56 GMT Не достаточно.<br><br>Во-первых, для пользования хранимками нужна хорошая СУБД умеющая нормально работать с курсорами и итераторами, да и вообще с хранимками. Какой-нибудь компаньён php в виде mysql не очень подходит.<br><br>Во-вторых, не каждый вид деятельности удобно засовывать в хранимки, например различные часто меняющиеся аналитические запросы. А что представимо более-менее стабильным простым API можно, конечно, засунуть в хранимки.<br><br>В-третих, разовый SQL запрос (это как раз что делает пых выше склеиванием запроса в текст) выполняется качественно не точно так же, как и prepared SQL запрос или запрос вызванный из хранимки. Есть нюансы работы планировщика запроса. Так, например, prepared запрос, или вызываемый из хранимки, пессимизируется. Это особенно плохо для больших аналитических запросов.<br><br>В-четвёртых, из хранимок тоже можно вызывать обычные текстовые запросы напарываясь на похожие грабли. Если заставить php'шника унести логику в хранимки, то проблемы просто переедут в хранимки.<br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#32 Thu, 23 Mar 2017 20:58:34 GMT Господи, ну что за страсть непременно строить велосипеды из костылей?<br><br>Достаточно ограничить похапэ вызовами хранимых процедур, а любые прямые обращения к таблицам наглухо запретить. И все, проблема исчерпана. Но нет, ниасиляторы РСУБД начинают из гoвнa и веточек сооружать гoвнo, нафаршированое веточками... <br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#31 Thu, 23 Mar 2017 09:06:01 GMT Нет там речь именно о PHP. Только непонятно, почему задокументированную фичу PDO оппонент считает ошибкой. <br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#30 Thu, 23 Mar 2017 09:02:25 GMT Это ты сейчас мощно всех программистов на С обдал. Оказывается они головой не думают, раз делают такие ошибки. Но ты то конечно не такой, ты ведь уже написал ядро аналогичное линукс без единой ошибки такого рода и вот-вот его всем покажешь, правда?<br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#29 Thu, 23 Mar 2017 01:28:52 GMT &gt; Школьники же, небось, и писали. Именно для того, чтобы аттестаты досрочно получить. <br><br>Если школьники находят уязвимости и могут написать эксплойт - я спокоен за это поколение.<br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#28 Thu, 23 Mar 2017 01:27:57 GMT &gt; а младенческие null pointer dereference и buffer overflow всё никуда не деваются. <br><br>Потому что головой надо думать а не другим местом. Это, кстати, ко всем языкам относится.<br> https://www.opennet.ru/openforum/vsluhforumID3/110750.html#27 Wed, 22 Mar 2017 23:23:26 GMT &gt; The important thing to realize here is that PDO by default does NOT do true prepared statements. It emulates them (for MySQL). Therefore, PDO internally builds the query string, calling mysql_real_escape_string() (the MySQL C API function) on each bound string value.<br><br>Ты читать не умеешь?<br>