Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.
McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.
Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.
Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.
Ministerstvo vnitra odhalilo závažný kyberincident v IT systému resortu. Systém, do kterého se dostal útočník bez oprávnění, byl odpojen a nedošlo k odcizení dat [𝕏].
Před rokem byla streamovací služba HBO Max přejmenována na Max. Dle managementu slovo HBO v názvu nebylo důležité. Včera byl Max přejmenován zpět na HBO Max. Kolik milionů dolarů to stálo? 😂
Byla vydána nová major verze 8.0.0 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata (Wikipedie). Přehled novinek v oficiálním oznámení a v aktualizované dokumentaci.
Mastodon (Wikipedie) - sociální síť, která není na prodej - byl vydán ve verzi 4.4. Přehled novinek s náhledy a videi v oznámení na blogu.
Instituce státní správy nebudou smět využívat produkty, aplikace, řešení, webové stránky a webové služby poskytované čínskou společností DeepSeek. Na doporučení Národního úřadu pro kybernetickou a informační bezpečnost rozhodla o jejich zákazu vláda Petra Fialy na jednání ve středu 9. července 2025.
$from ='05/17/2012 10:15:00'; $to ='05/17/2012 10:30:00'; $day ='5/17/2012'; echo '{ "dtstart": "'.$from.'", "dtend": "'.$to.'", "day": "'.$day.'" },';tak to fičí ok, ale akonáhle pred to dám hocijakú funkciu, tak to ajax nespracuje, napr. toto (prepíšem na konci tie isté premenné čo v prvom skripte, ale aj tak to nejde dobre):
$from= preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->time_from); $to = preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->time_to); $day = preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->day); $from ='05/17/2012 10:15:00'; $to ='05/17/2012 10:30:00'; $day ='5/17/2012'; echo '{ "dtstart": "'.$from.'", "dtend": "'.$to.'", "day": "'.$day.'" },';
$data
$from, $to, $date
by se mely stejne priradit rucne definovane hodnoty, takze problem bude spise v tom, ze tam dojde k nejake notice/warning nebo tak neco, co pak rozbije ten vystup..
Array( [0] => array ( [id] => 24 [time_from] => 05/17/2012 10:15:00 [time_to] => 05/17/2012 11:30:00 [day] => 05/17/2012 ) )
<?php class Data{ public $time_from = '05/17/2012 10:15:00'; public $time_to ='05/17/2012 10:30:00'; public $day ='05/17/2012'; }; $data = Array(0 => new Data()); $from= preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->time_from); $to = preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->time_to); $day = preg_replace('/[\x00-\x1F\x80-\xFF]/', '',$data[0]->day); echo '{ "dtstart": "'.$from.'", "dtend": "'.$to.'", "day": "'.$day.'" },';jako byste přímo zapsal toto:
,
na konci toho výpisu. Zkusil bych ji dát pryč, co to udělá.
Array( [0] => stdClass Object ( [id] => 24 [time_from] => 05/17/2012 10:15:00 [time_to] => 05/17/2012 11:30:00 [day] => 05/17/2012 ) )v čom by tam mohol byť do kelu problém?
echo json_encode(array("dtstart"=>$from,"dtend"=>$to,"day"=>$day));
eval()
, která si s těmi zpětnými lomítky hravě poradí.
json_encode()
přidává uvozovky, podstrčený kód se tedy předá jako řetězec.
{ "dtstart": "05/17/201210: 15: 00", "dtend": "05/17/201210: 30: 00", "day": "05/17/2012" }v pořádku. Že by zase nějaká JSON obskurnost?
<![CDATA[ … ]]>
json_encode()
si s tím musí umět poradit tak, abych při json_decode()
dostal identická data.
Když ukládám data do DB, tak je také nesmím escapovat, abych je měl v DB přesně byte po bytu tak, jak je tam potřebuji mít.
json_decode()
a pak htmlspecialchars()
. V HTML nemá JSON co pohledávat.
<script> <?php echo json_encode(array("dtstart"=>"<![CDATA[","dtend"=>"05/17/2012 10:15:00")); ?> </script>nebo
<script> <?php echo json_encode(array("dtstart"=>"<script>","dtend"=>"05/17/2012 10:15:00")); ?> </script>což mi rozbije výstup. Případně když budu vypisovat jinam (atribut, jiný formát), může se tam rozbít něco jiného. Proto je potřeba, aby escapoval ten, kdo ví*, kam se vypisuje. A tudíž je to polovičaté escapování ve funkci
json_encode()
nadbytečné a povede akorát ke zmatkům a chybám – stejně jako ty PHP Magic Quotes – programátoři se budou spoléhat na to, že můžou jen tak přilepit návratovou hodnotu funkce do výstupu a nebudou ji escapovat a špatně dopadnou.
Ta funkce má i volby – trochu by pomohla JSON_HEX_TAG
, která zneškodní ty < >, ale stále tam zbudou & a ty budou dělat neplechu (neexistující entity). Takže je potřeba přidat ještě JSON_HEX_AMP
. A už to není tak jednoduché a možná tam jsou i další díry…
Je to takový neunixový přístup, jedna funkce se toho snaží dělat příliš mnoho a nakonec to dělá blbě. Daleko lepší mi přijde to rozdělit – mít jednu spolehlivou funkci na generování JSONu a jinou spolehlivou funkci na escapování (pro různé výstupní formáty) a tyto dvě funkce zřetězit:
$výstup = bezpečněEscapujProDanýVýstupníFormát(generujNějakáData($vstup));*) což může být programátor, který zavolá patřičnou funkci, nebo třeba nějaký inteligentní šablonovací systém, který zná kontext.
<script> <?php echo htmlspecialchars(json_encode(array("dtstart"=>"&<![CDATA[","dtend"=>"05/17/2012 10:15:00"))); ?> </script>
bezpečněEscapujProDanýVýstupníFormát()
. Jenže pak je nějaké přidávání zpětného lomítka před / zbytečnost a nemá tam co dělat – akorát to někoho svede k chybě.
*) relativně – zase to zbytečně převádí " na ", přestože uvozovky v textových uzlech (uvnitř elementů) klidně být můžou a je potřeba je převádět jen v atributech – a to ještě jen v těch, kde je hodnota zavřená do uvozovek – zatímco v <element atribut='nějaká "hodnota" s uvozovkami'/>
klidně být můžou.
Tiskni
Sdílej: