Lo que deseas hacer es algo muy basico. Trata de aprender lo fundamental de SQL compa y PHP&MYSQL

<?php

echo str_replace('\_', '_', 'http://es.web.img1.acsta.net/r\_160\_240/b\_1\_d6d6d6/medias/nmedia/18/68/09/14/20244786.jpg');

?>

Output:

http://es.web.img1.acsta.net/r_160_240/b_1_d6d6d6/medias/nmedia/18/68/09/14/20244786.jpg

Aplicalo al momento de insertar esa información en la DB.

esta escapando los underscore, simplemente aplica un String replace con PHP, y deja solo el underscore. Razon??? Tu aplicacion PHP, escapando los underscore.

No tiene nada que ver con chrome, ni ningun navegador. La aplicacion se ejecuta en el lado del servidor... Ahora, la forma que visualiza la informacion en el navegador, varia.

Creo que la información que te visualiza antes del contenido, es el response de la pagina.

Sobre lo de chrome y pishing, si el contenido que imprime contiene algun link de una pagina, que esta en la black list de chrome, entonce te saldra el mensaje que  dices.

Saludos.

Haz un partial render, carga el contenido que necesites con ajax, y siempre deja el header y el footer, asi de paso ahorras banda ancha.

Pero lo ideal y la solucion a tu duda es que utilices y aprendas sobre algun sistema de manejo de cache como Memcached, APC, etc...

Saludos.

Por lo visto como nadie ha constetado correctamente la 2º y la 3º pregunta, la contesto.

2 - El resultado es falso, ya que cuando se declara un Integer y se le asigna un valor literal (sin hacer una instanciacion) y se compara  utilizando el operador relacional (==) con otro Integer con el mismo valor (declarado literalmente), dara verdadero siempre y cuando el valor no pase de 127. En este caso el valor sobre-pasa los 127, por tal razón el resultado es falso.

3 - Verdadero, basado en la información de la respuesta 2.

Gracias por la participación chicos, por lo comentarios, veo que tanto Arkangel, como 16BITBoy, tienen buen conocimiento de java. La respuesta incorrectas, no la responderé ahora por si alguien llega a responderla.

---

@Arkangel,

1 - Exacto
2 -  Falso, recuerda que cuando se utilizas Wrapper para comparar utilizando el operador relacional ==, estos se convierte en sus datos primitivos para realizar la comparación, pero hay algunas excepciones, hay es donde esta la clave. Por otro lado haz acertado que se debe utilizar equal para verificar la igualdad y es lo recomendado, pero no es la respuesta a la pregunta.
3 - Como no estas seguro, te digo que al unico objeto que se le asigna la misma direccion de referencia cuando se declara, es al objeto String siempre y cuando el valor que le hayas dado sea literal y no sea directamente instanciando el objeto String y pasandole el valor al constructor.
3 - Correcto, La clase String sobre-escribe el método equal y también el método hashCode. Recordando que para que un objeto sea considerado igual a otro, este debe también tener el mismo hashCode.
4 - Correcto, StringBuilder no sobre-escribe el método equal, y tampoco el método hashCode.

Buenas respuesta @Arkangel, ya que también haz utilizado los términos correcto y eso significa que conoces bien el lenguaje y no solo su sintaxis.

---

@16BITBoy,

1 - Correcto, ya que son distintos hashes, en la comparación el resultado es falso. Pero en realdad estas comparando los valores de los objectos y esos valores son la referencia de los objetos.
2 - Falso, en este caso hay algo diferente, una excepción en el comportamiento de la JVM.
3 - Como no conoces el criterio exacto, mejor obviamos la respuesta por si luego quieres responderla.
4 - Correcto compañero
5 - Correcto, no hay nada que agregar solo que tampoco sobre-escribe el metodo hashCode.

Buena participación @16BITBoy, me gusto mucho tu ultima respuesta, ya que describiste como funcionaba internamente el comportamiento, ese tipo de respuesta son la que me gusta ya que muchos saben codear pero no todos conocen verdaderamente el lenguaje que utilizan.

---

Saludos chicos.

Dado el codigo de abajo, explicar porque retorna true o false, en cada caso.

public class xD {
    public static void main(String[] args) {

        Integer a1 = 600;
        Integer a2 = 600;

        Integer b1 = 100;
        Integer b2 = 100;

        String a = "hola";

        StringBuilder strB = new StringBuilder("hola");

        System.out.println(new Integer(5) == new Integer(5)); // false
        System.out.println(a1 == a2);// false
        System.out.println(b1 == b2); //true
        System.out.println(a.equals("hola")); //true
        System.out.println(strB.equals("hola")); // false

    }
}

Salida:

Citarfalse
false
true
true
false

Saludos.

Eso es correcto

Cuando se trabaja con 2 o mas thread y todos los thread trabajan con una misma instancia, puede ser que llegue un momento que un thread modifique el estado de un objeto y luego otro modifique el estado de ese objeto antes de que el primer Thread termine su ejecucion y por lo tanto esto puede causar grandes errores, por eso se utiliza  synchronized para evitar que otro thread acceda al objeto hasta que el que esta utilizando el objeto termine.

Por lo tanto, tienes una idea mal formada por eso el error, mostrar el source que utilizaste para tu ejemplo seria un buen paso xD.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Saludos.

Nunca debes afrontar un problema directamente, desglosa el problema en pequeñas partes y luego ve realizando cada una de las partes.

Si alguien te ayuda, pues aprenderá, pero si tiendes a buscar una persona externa para solucionar problemas que no puedes solucionar es un muy mal habito y evitara tu desarrollo.

Para todo lo que quieras hacer, existirá una solución te lo aseguro. Solo sigue pensando compañero.

Saludos.

Eso si, el formato esta muy bonito jejeje, pero le debiste echar un poco mas de gana.  Solo de los errores se aprende compañero, estoy seguro que los errores que haz cometido ya no te sucederán de nuevo.

Saludos.

No creo que haya necesidad de crear un tutorial de algo que ya esta en todos lados. Pero igualmente se agradece el esfuerzo.

Pero aveces debemos pensar en realidad porque hacemos este tipo de cosas, porque la fama y todo eso no sirve detrás de un nick, y alguien que busque el reconocimiento de los demás dudo que llegue lejos . Mejor preocúpense por aprender, para en un futuro vivir de esto.

Saludos.

interesante, cosas como esas es bueno conocerla o por lo menos lo fundamental.

Saludos.

Exacto, la condicion es esta:

so.indexOf("mac") >= 0

so es un objeto tipo string, que se le ha seteado el nombre del so pasado en minúscula. indexOf es un metodo del Objeto String que devuelve un entero. Que da como resultado la posición del string pasado como parámetro utilizando el string del objeto so. Si el parametro string pasado no esta contenido en el objeto so, entonce este devuelve un -1. El utiliza un mayor o igual a 0, porque la posición comienza desde 0 y si indexOf retorna un valor igual o mayor a 0 es porque se coincidió con el objeto so. Si coincidió devuelve true de lo contrario false.

---

Cambiando de tema, Expermicid no debiste implementar la logica que verifica cual SO es el actual, directamente desde la parte del cliente. Lo ideal es crear una clase que realice esa lógica. Ya que andas violando algunos principios y por lo tanto estas utilizando malas practicas.

Lo ideal en este caso es utilizar el patrón de diseño Factory Method.

Saludos.

Mi querido Fedora

Que bien que hayaz pensado, sip una de la soluciones es actualizar el token. Me alegro que hayas entendido.

Pero lo que me parece mal es que sigas insistiendo que por ser basico, sea vulnerable pero es tu opinion y la respeto.

En seguridad web, saber programacion y tener un buen nivel de programacion es indispensable, en mi opinion. Espero algun dia llevarme una sorpresita de ti, ya sea publicando un bug de algun famoso cms o algun nuevo vector de ataque.

Saludos.

Por mas basico que sea, no por eso significa que sea vulnerable. Y si el PoC que haz mostrado, es vulnerable y no es conveniente que se exponga como un sistema de seguridad. Y desde ahora, te digo que cuando se expone alguna sistema para prevenir alguna vulnerabilidad, lo que se suele exponer es un PoC, ya que el objetivo no es mostrar que el sistema funciona, sino demostrar como funciona el sistema para prevenir la vulnerabilidad y no puedes exponerlo con vulnerabilidades conocidas.

Por lo menos ya has reconocido que es vulnerable y es un gran paso. Lo que si te digo que no es bueno argumentar basándote en lo que escribe un tercero, es mejor conocer realmente como funciona el sistema. Y no tiene que postear img, puede ser con el mismo avatar e incluso en algunos caso quizás no sea necesario utilizar una img, si conoces bien el sistema, conoces como funciona la vulnerabilidad, puedes crear un nuevo vector de ataque basandote en otros.

Y sobre pasar el token vía POST puede funcionar pero no es una buena idea. O en cada petición que realice el usuario sera POST?? cuando vaya hacer click en algún link dentro del foro, sera una petición POST... Por ejemplo si el usuario quiere desloguearse, lo ideal seria que haga click para desloguearse, que seria una peticion GET y en ese caso tendrias que pasar el token via GET, pero tranquilo hay una buena forma de evitar CSRF.

También seria correcto, alguna solución, argumentes con un PoC que hayas creado, así los demás entienden mejor y aprenden.

Saludos.

Por mas básico que alguien plante un sistema de seguridad, no significa que deba ser vulnerable.

El robo del token no es para saber el contenido del token. Es para realizar un bypass cuando se realiza el CSRF. Ha habido muchísimas vulnerabilidades en los diferentes CMS incluyendo SMF, que utilizan esa técnica para realizar un bypass. Tendrias que investigar y quizás luego testear para entender bien como explotar esta vulnerabilidad utilizando el token.

El segundo link que te deje, abre directamente un comentario mio, donde se explica como se da la vulnerabilidad y esta en español la explicación. Aunque esta es un poco compleja de entender que la primera.

Y el problema se da en la forma de implementacion, de hay salen muchísimos bypass.

Saludos.

Fortil, normalmente la información no se suele encontrar en un solo sitio. Lo mejor que se puede hacer, es ser objetivo en lo que se desea hacer y utilizar google.

Saludos.