Т.о. для того, чтобы обновить какую-либо страничку я отключаю сервер и копирую файлы (изначально все обновы пишутся на Дэнвере), затем запускаю сервер - вуаля: can't modify
Полная Версия: php кнопка перехода с передачей GET
Все файлы (установка сервера) кроме guest.txt - read-only.
Т.о. для того, чтобы обновить какую-либо страничку я отключаю сервер и копирую файлы (изначально все обновы пишутся на Дэнвере), затем запускаю сервер - вуаля: can't modify
Т.о. для того, чтобы обновить какую-либо страничку я отключаю сервер и копирую файлы (изначально все обновы пишутся на Дэнвере), затем запускаю сервер - вуаля: can't modify
| Цитата (Гость_Владимир @ 19.02.2013 - 11:51) |
| т.о. получается двойное обновление страницы по нажатию на кнопку "Опубликовать свой гнев" |
Вот это не правильно. Не должно быть двойных обновлений. Надо менять логику работы скрипта.
И насчет "дыры в безопасности" ты тоже не прав
Входящие данные надо проверять/переделывать, причем делается это всё легко и просто.И относительно сессии. Данные сессии хранятся на сервере, в выделенном файле. В течение определенного времени, которое можно изменять. И только тот юзер, что правильно указал айди сессии, получает доступ к этим данным. Точнее, даже не юзер, а вызванный им скрипт на сервере. Там можно хранить какие-то промежуточные данные, которые не нужно (или нет необходимости) пересылать клиенту и обратно, и которые будут нужны в течение ближайшего времени. Как в твоем случае.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
| Цитата (Гость_Владимир @ 19.02.2013 - 12:38) |
| Все файлы (установка сервера) кроме guest.txt - read-only. |
этого более чем достаточно
погугли уязвимость file inclusion, это как раз твой случай.
Всем спасио за ответы, буду копать (по указанным векторам)
Что касается безопасности - как таковой персональной информаци, аккаунтов и пр. у меня нет. Сайт информативного характера (ещё с 2006 года такое задумал, ток руки не доходили, а потом и Викия задумку перехватила, правда не полностью), посему даже если его перетрут по полной - перелью с Дэнвера, не беда (вначале всё делается там, а уж потом делается копия на сервере)
+ в копилку темы безопасности - я ей пока банально даже не занимался, т.к. индексация сайта нулевая, пользователей пока 0-3 в день (а то и в неделю), ломать некому и не за чем
Что касается безопасности - как таковой персональной информаци, аккаунтов и пр. у меня нет. Сайт информативного характера (ещё с 2006 года такое задумал, ток руки не доходили, а потом и Викия задумку перехватила, правда не полностью), посему даже если его перетрут по полной - перелью с Дэнвера, не беда (вначале всё делается там, а уж потом делается копия на сервере)
+ в копилку темы безопасности - я ей пока банально даже не занимался, т.к. индексация сайта нулевая, пользователей пока 0-3 в день (а то и в неделю), ломать некому и не за чем
| Цитата (Гость_Владимир @ 20.02.2013 - 10:17) |
| посему даже если его перетрут по полной - перелью с Дэнвера, не беда |
сайты ломают не только для тупого дефейса. Ценость информация хранящейся на вашем сайте не столь важна. Взломанный сайт может быть использован как площадка для атак на другие сервисы, фишинга, дорвеев и прочей хрени, за которые ваш сайт могут на долго прикрыть. Похоже вы недооцениваете всю опасность ситуации
Да, недооценивал от малознания.
Спасибо что просвятили Буду знать.
Спасибо что просвятили
Буду знать.
Здесь расположена полная версия этой страницы.