Про уязвимость в toSQL()
Сегодня кое-где проскочило сообщение, что в pdoTools есть уязвимость. Точнее, в xPDOQuery::toSQL(), которую он использует.
Конечно, это фигня, и toSQL() используюется только для вывода сообщений в лог, чтобы юзер видел, какой запрос получается. Это легко проверяется за полторы секунды через Ctrl+F, благо вся работа с БД в одном файле.
Сам метод никогда не выполняется (и в мыслях не было!) и вообще, весь класс pdoFetch работает через xPDO и только результаты выбирает через PDO, о чем я говорил миллион раз. Так что, будьте бдительны и не ведитесь на провокации.
Естественно, самые преданные мои фанаты тут же новость растиражировали вместе с забавными тегами:
Интересно, а кто-то на самом деле составляет запрос через xPDO, потом конвертит в SQL и выполняет через PDO? Если такие люди есть — это номинация на «извращение года».
Конечно, это фигня, и toSQL() используюется только для вывода сообщений в лог, чтобы юзер видел, какой запрос получается. Это легко проверяется за полторы секунды через Ctrl+F, благо вся работа с БД в одном файле.
Сам метод никогда не выполняется (и в мыслях не было!) и вообще, весь класс pdoFetch работает через xPDO и только результаты выбирает через PDO, о чем я говорил миллион раз. Так что, будьте бдительны и не ведитесь на провокации.
Естественно, самые преданные мои фанаты тут же новость растиражировали вместе с забавными тегами:
modx revolution, bezumkin, уязвимость, xPDO, SQL injection, pdoTools, Jason Coward, miniShop, mSearchТоли SEO оптимизация, толи просто закос под желтую прессу пополам с баттхертом. Без минимальной проверки информации причастными оказались даже первые версии mSearch и miniShop, которые вообще не используют pdoTools.
Интересно, а кто-то на самом деле составляет запрос через xPDO, потом конвертит в SQL и выполняет через PDO? Если такие люди есть — это номинация на «извращение года».
Комментарии: 2
Никого не хочу защищать или оправдывать, но справедливости ради добавлю — эти теги были взяты копипастом с моего блога, когда я чисто гипотетически (не проверив исходный код) предположил как pdoTools выполняет запросы.
Когда Василий Краковецкий посмотрел исходный код pdoTools и сообщил мне что toSQL там используется лишь для отладки, то я топик поправил убрав некорректную концовку с намеком, что mSearch и другие компоненты основаные на pdoTools тоже могут быть подвержены sql-injection. Вместе с концовкой так же были поправлены и теги.
Так что ни холивара ради, а во благо для…
Когда Василий Краковецкий посмотрел исходный код pdoTools и сообщил мне что toSQL там используется лишь для отладки, то я топик поправил убрав некорректную концовку с намеком, что mSearch и другие компоненты основаные на pdoTools тоже могут быть подвержены sql-injection. Вместе с концовкой так же были поправлены и теги.
Так что ни холивара ради, а во благо для…
Да не вопрос, всякое бывает.
Речь не про тебя, а про радостного копипастера, который очень любит про меня писать.
Речь не про тебя, а про радостного копипастера, который очень любит про меня писать.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.