1. В отличие от исследования Яндекса, но в соответствие с проведенным опросом. У нас подавляющее большинство клиентов пользуются 3 и более способами платежей и это, в общем, логично, мы же агрегатор платежей. 2. В соответствии и с нашим опросом и с исследованием Яндекса, платежи по картам у нас занимают лидирующие позиции. 3. А вот распределение популярности среди способов платежей начиная со второго после карт места, у нас отличается и от исследования Яндекса и от нашего опроса. Как именно, мы не будем уточнять чтобы не превращать наш независимый опрос в рекламную/антирекламную акцию.

Сравнить статистику прекрасная идея. Выкладывайте свои данные, сравним:)

Друзья, мы, конечно, проводили опрос не для того, чтобы поставить под сомнение исследование Яндекса. Мы рады, что наш броский заголовок не вызвал отторжения. Благодаря Вашей активности, мы все теперь имеем доступ к небезинтересным данным. Спасибо всем, кто принял участие в опросе.

Сорри, уже поправили ;)

В статье было сказано буквально: «Реализовать экранирование кавычек и других спецсимволов».

Ну, мы рассматриваем как это работает в общем виде. Безусловно, prepared statement — хороший и правильный вариант при проектировании новой системы. Если же говорить о приведении в соответствие уже имеющейся, дырявой системы — придется много кода переписать. Экранирование работает нормально, если сами параметры обрамлены в кавычки, как миниум. Также мы сказали, что важно проверять на соответствие типа, и в те SQL-выражения, где значение возможно использовать без кавычек (числа), стринги проходить просто не должны — ну или как минимум abs(intval($val)) должен будет превратить их в ноль.

Уважаемый Scratch, мы «контору» не «пиарим» а делимся проблематикой.
На дворе может быть хоть 2050 год, а целая масса сайтов по прежнему узявимы, как с этим быть?

Согласен! Если бы они еще и имя регистратора подделали и цену — было бы намного правдоподобнее. И натянули бы SSL на свой фишинговый сайт.

Конечно, эти векторы — топ-10 и они должны быть известны любому разработчику, казалось бы. Но к сожалению, многим людям они не известны. Только недавно мы проводили дружеский пентест нашим европейским коллегам из одной платежной системы и были просто в ужасе. Статья рассчитана на собственников бизнеса и будет малоинтересна разработчикам, мы об этом сразу сказали в начале материала.

Возможно, доменов зарегистрированных имеется около 50-и уже много лет. Именно такой способ — не попадался ни разу.