 |
mengzhuoV2EX 第 16686 号会员,加入于 2012-02-13 18:36:09 +08:002
 76  17  |
mzh.io
mengzhuo 最近回复了
3 天前 回复了 matepi 创建的主题 › 程序员 › 上传中文文件名文件- Linux 存储并本地 shell 等处理文件-回显文件名列表-按原文件名下载文件 的需求中,最优雅的编解码方式是什么? |
@matepi 不过滤么?这是想元编程来偷懒?我们之前搞手游的时候就出过这样的安全漏洞,直接搞挂整个业务(幸好是内部上传接口而已)。
就按你说的 sed+loader ,这个最简单的例子,一个带 header csv ,要 insert 每一行的话,不检验和过滤,分分钟教做人
```
item,count
id1,1
"; drop table user, 2
```
算了……好言难劝该死鬼,我坐等你来发挨攻击的帖子。
就按你说的 sed+loader ,这个最简单的例子,一个带 header csv ,要 insert 每一行的话,不检验和过滤,分分钟教做人
```
item,count
id1,1
"; drop table user, 2
```
算了……好言难劝该死鬼,我坐等你来发挨攻击的帖子。
3 天前 回复了 matepi 创建的主题 › 程序员 › 上传中文文件名文件- Linux 存储并本地 shell 等处理文件-回显文件名列表-按原文件名下载文件 的需求中,最优雅的编解码方式是什么? |
@matepi 我随便塞一个远程下载+反向 shell 怎么办?能上传任何逻辑就是死啊,回头你试试看公布一下地址,估计不超过 1 小时就被爆。
6 天前 回复了 matepi 创建的主题 › 程序员 › 上传中文文件名文件- Linux 存储并本地 shell 等处理文件-回显文件名列表-按原文件名下载文件 的需求中,最优雅的编解码方式是什么? |
@matepi 那也很可怕了……注入了解一下?输入数据必须经过程序完全转义和校验以后才能进入数据库的,真是不怕一锅端。
6 天前 回复了 matepi 创建的主题 › 程序员 › 上传中文文件名文件- Linux 存储并本地 shell 等处理文件-回显文件名列表-按原文件名下载文件 的需求中,最优雅的编解码方式是什么? |
"通过 shell 脚本作为入口"
贵司是架构和安全都是吃干饭的么?要提供 webshell 给用户?随便一个提权命令都可以搞废你们这服务器。
贵司是架构和安全都是吃干饭的么?要提供 webshell 给用户?随便一个提权命令都可以搞废你们这服务器。
22 天前 回复了 iorilu 创建的主题 › 程序员 › 无意中学了点 powershell ,惊了, 这东西是不是低估了 |
@qishouvip2022 用过啊,我就在用 win2019 server ,新版的 psh 很多跑不了,装软件还要重启升级,我可不想为了一个 shell 升级服务器。
23 天前 回复了 cheny233 创建的主题 › 程序员 › 各位大佬看看我的简历(golang)有什么不足的地方 |
大厂+软通=菊花?
1.5 年差不多了
1.5 年差不多了
23 天前 回复了 iorilu 创建的主题 › 程序员 › 无意中学了点 powershell ,惊了, 这东西是不是低估了 |
说兼容性好的,psh 连 win2019 server 都不支持,我一个写好的 bash 脚本却可以一直用
市场早就用脚投票了
市场早就用脚投票了
36 天前 回复了 hao7Chen 创建的主题 › 问与答 › 公司不让穿短裤怎么办? |
公司明确 dress code 的还是遵守吧,不至于换工作……
45 天前 回复了 christin 创建的主题 › 程序员 › 电影《孤注一掷》关于程序员的小吐槽(剧透警告⚠️) |
看完了,至少代码片段、命令行和逻辑什么的基本符合现实,不像以前一样随便找一段帖上去了,算进步了。
倒是看的时候觉得的才哥救金晨是剧情硬伤,看了导演访谈,结果这是真事……果然现实比电影还离谱……
倒是看的时候觉得的才哥救金晨是剧情硬伤,看了导演访谈,结果这是真事……果然现实比电影还离谱……
Select Language