Aktywne Wpisy
WielkiNos +87
W Krakowie ludzie utworzyli grupę, na której ostrzegają się przed kontrolerami biletów żeby móc jeździć na gapę. Powstała też aplikacja umożliwiająca oznaczanie pozycji kanara na mapie. Osoby wyrażające swój niesmak po zobaczeniu tego są jak widać wytłumaczane.
#krakow #komunikacjamiejska #patologiazmiasta #oszukujo #aplikacje
#krakow #komunikacjamiejska #patologiazmiasta #oszukujo #aplikacje
viciu03 +9
#sekurak #programowanie
@loczyn: szyfrują ciąg znaków. Np. ciąg "abcd" zahashowany w md5 to "e2fc714c4727ee9395f324cd2e7f331f"
password powinien być porównywany jako hashcode, np poprzez bCrypt, sha itp, i to koniecznie
To wszystko powinno działać w backendzie,
ta funkcja wywołuje przy logowaniu jednego użytkownika, wszystkich XD co jest tragiczne wydajnościowo. Tzn jeśli 100 osób bedzie się logować na raz, pętla przeleci 150 tysięcy razy. Powinno być zapytanie do SQL o podany login, i jeśli taki istnieje sprawdzone hasło. Masz 2
@Przegrywek123:
@loczyn: wykonujesz proste zapytanie do bazy. Na dodatek nie odkodowujesz hasła (bo jeśli da się odkodować to znaczy ze funkcja #!$%@?ąca jest do dupy) tylko uzywasz funkcji ktora weryfikuje czy podane hasło się zgadza z tym hashem, które podany uzytkownik ma zapisane w bazie.
to lecimy z błędami:
- sql injection (?) a właściwie, to dostęp do bazy z frontu
- wyciąganie wszystkich rekordów, a następnie sprawdzanie w pętli, czy login i hasło się zgadzają
- if ("true" == "true") - niepotrzebny warunek, wystarczyłoby return false
- brak
Co do szukania, po skonstruowaniu zapytania SQL, w którym podajesz usera to silnik pewnie pod spodem i tak sprawdza wszystkie rekordy po kolei w poszukiwaniu tego loginu, z tym że radzi sobie z tym jakoś lepiej. Niestety SQL
Chyba jutro wysle CV na jakiegos Senior JS Deva :D
obfuskacji.
Zapewne 3/4 apek ma podobny gnój w implementacji API tylko tego nie widzimy.
Komentarz usunięty przez autora
@wrucilem_hejtowac: jest w #!$%@? zły, tak zły, że nie wiadomo od czego zacząć.
0. hasła zapisane bez haszowania na bazie