А
Будешь ведущим)
Size: a a a
2020 July 03
N
Мне приснились виджеты.
N
Д.
Добрый день, действительно ли уязвима запись?
$name входящий get запрос в контроллере
$name входящий get запрос в контроллере
User::find()->andWhere(['like', 'username', $name.'%', false])->all();
V
Добрый день, действительно ли уязвима запись?
$name входящий get запрос в контроллере
$name входящий get запрос в контроллере
User::find()->andWhere(['like', 'username', $name.'%', false])->all();
Все мы уязвимы в чем-то
Д.
В доках не нашел какие символы не фильтрует третий аргумент при false
Если только %, это не так уж и критично в моем случае.
Если только %, это не так уж и критично в моем случае.
V
В доках не нашел какие символы не фильтрует третий аргумент при false
Если только %, это не так уж и критично в моем случае.
Если только %, это не так уж и критично в моем случае.
критично https://qna.habr.com/q/249338
Д.
критично https://qna.habr.com/q/249338
Вопрос видел, если критичность высокая почему в доках не отмечено? Когда есть примеры где отмечено что это уязвимый запрос
V
Почему не отмечено? Вы также можете передать третий необязательный операнд, для указания способа экранирования специальных символов в значениях. Операнд должен быть представлен массивом соответствия специальных символов их экранированным аналогам. Если этот операнд не задан, то будет использовано соответствие по умолчанию. Вы можете также использовать значение false или пустой массив, чтоб указать что значения уже
экранированы.vo
Всем привет!
Буду благодарен за совет. Вопрос: Откуда лишние слои?
Собираю образ: (php:7.4.5-fpm-alpine3.11)
Пушу в свой репозиторий.
После этого в dockerfile меняю FROM на свой репозиторий и добавляются новые слои.
FROM shisha/reactor-kombo:latest
# Add Scripts
ADD scripts/start.sh /start.sh
# copy in code
ADD ./ /var/www/html/
EXPOSE 443 80
WORKDIR "/var/www/html/src"
CMD ["/start.sh"]
Буду благодарен за совет. Вопрос: Откуда лишние слои?
Собираю образ: (php:7.4.5-fpm-alpine3.11)
Пушу в свой репозиторий.
После этого в dockerfile меняю FROM на свой репозиторий и добавляются новые слои.
FROM shisha/reactor-kombo:latest
# Add Scripts
ADD scripts/start.sh /start.sh
# copy in code
ADD ./ /var/www/html/
EXPOSE 443 80
WORKDIR "/var/www/html/src"
CMD ["/start.sh"]
A
критично https://qna.habr.com/q/249338
TS
А вот кто что думает - как целесообразнее реализовывать row-level контроль доступа к сущностям типа клиентов, продаж и так далее для небольших организаций -
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
TS
Речь идет, конечно же, о доступе авторизованных пользователей - работников этой организации.
АЯ
А вот кто что думает - как целесообразнее реализовывать row-level контроль доступа к сущностям типа клиентов, продаж и так далее для небольших организаций -
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
зависит от ситуации у вас на предприятии.
логичнее делать то. чего будет меньше
логичнее делать то. чего будет меньше
АЯ
а вот как там у вас всё резолвится - непонятно. мы поначалу делали "закрыть всё, но открыть разрешённое"
потом через время перестроили "открыть всё но запретить лишнее"
а потом вообще забили на эти доступы и просто логируем кто что нажал. единственное что в админку доступ только у админов.
потом через время перестроили "открыть всё но запретить лишнее"
а потом вообще забили на эти доступы и просто логируем кто что нажал. единственное что в админку доступ только у админов.
Д.
Почему не отмечено? Вы также можете передать третий необязательный операнд, для указания способа экранирования специальных символов в значениях. Операнд должен быть представлен массивом соответствия специальных символов их экранированным аналогам. Если этот операнд не задан, то будет использовано соответствие по умолчанию. Вы можете также использовать значение false или пустой массив, чтоб указать что значения уже
экранированы.Понял, спасибо. С массивом соответствия примеров не хватает. ['%' => '%'] не срабатывает как нужно
IS
А вот кто что думает - как целесообразнее реализовывать row-level контроль доступа к сущностям типа клиентов, продаж и так далее для небольших организаций -
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
реализовать переключатель в настройках и пускай заказчик сам решает.
IS
Код увеличится на пару строчек)
IS
На практике я бы ещё подумал в сторону ввести дополнительные атрибуты.
Скажем, менеджер может видеть продажи, но только свои, или там своего отдела.
Скажем, менеджер может видеть продажи, но только свои, или там своего отдела.
XN
А вот кто что думает - как целесообразнее реализовывать row-level контроль доступа к сущностям типа клиентов, продаж и так далее для небольших организаций -
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
"все, что не разрешено - то запрещено" или "все, что не запрещено - то разрешено"?
Rbac rules