[Django] CSRF/XSS/SQL-Injection/<...>

[polymorphm]

 
нада же! Django делали явно умудрёные опытом люди!

***

защита от CRSF-атак -- там включена ПОУМОЛЧАНИЮ(!!!)! .. ыыыЫЫ :-) :-) :-) :-)!!

хотя, как известно любой сайт в котором НЕТ средств защиты от CRSF -- уязвим для этой атаки поумолчанию (изначально!). :-) :-)

...то-есть это НЕ тот вид атаки, который основан на ОПЛОЩНОСТИ допущенной СЛУЧАЙНО разработчиком.. а тот вид который который основан на ЛЕНИ разработчика (или незнании :)... но вероятнее всего конешно лени :-D )

ну к примеру сайты -- www.liveinternet.ru и vk.com (vkontakte.ru) -- довольно долгое время (а может и до сих пор?) -- этим атакам были подвержаны! [...и куча других сайтов... не менее половины x_X ]
                                                            ***

а ещё в Django -- в шаблонизаторе включена экранизация символов -- и тоже ПОУМОЛЧАНИЮ(!) [но можно конешно же использовать конструкции отключающщие экранизацию в "индивидуальном" порядке]... :-)

...и как после такого -- можно случайно допустить XSS-дыру(?)..

да практически никак! :-)

хотя... -- даже в thepiratebay.org -- потенциально есть XSS-дыры, что можно заметить, зайдя на страничку thepiratebay.org/torrent/3649668/GTA_San_Andreas_full_game_pc__lt__lt_with_crack_gt__gt_ и внимательно поглядев HTML-код:
,
.. :O
                                                            ***

а взаимодействия с SQL-кодом -- в Django вообще ИСКЛЮЧАЮТСЯ (..и вся работа ведётся только с объектами :)) , так как используется механизм Object-relational mapping (Объектно-реляционное отображение) ...

если нет SQL-кода, то SQL-Injections отпадают автоматически :-) :-)
                                                            ***

впрочем -- только самый безграмотный-школьник -- сможет допустить оплошность вида SQL-Инъекция или XSS-дыра -- независимо от того какой он использует программный каркас для своего WWW-сайта.. WWW-дыр такого типа -- в реальных Интернетах -- почти наверно и не встречаются нигде....

(неговоря уже о том что в Python-DB-API-2.0 [PEP 249] -- вообще трудно допустить возможность SQL-Инъекции, так как параметры-SQL-запроса передаются отдельным списком :))

....но суть этого журнального файла -- в том что всё это включено в Django -- ПОУМОЛЧАНИЮ! :-) ...и это радует ^__^ , ведь безопасность она и должна быть поумолчанию! :-)

# p.s. а почему так радуюсь -- я(?).. всё очень просто! -- я ведь тоже являюсь пользователь Интернетов.. и тоже пользуюсь различными сайтами.... а было бы неприятно если на каком-то из этих сайтов меня скомпрометируют (отправят сообщение от моего имени.. или ещё чего плохое сделают :):))... вот так-то :-)