kurkumaarts 04.04.2012 18:31 mind

https://secure.wikimedia.org/wikipedia/r...
Во-первых, все запросы изменяющие данные должны идти через POST. GET только на вывод данных. Никаких блять /postid/r и прочего.
Во-вторых, если данные передаются POST'ом, то какого хуя GET тоже катит? Это я по поводу /post?text=Я%20СОСУ%20ХУИ.
В-третьих, проверяй рефер. Шли все запросы нахуй, если рефер не с psto.net. Параноики с принудительно пустым рефером поймут.
В-четвертых, юзай токены во всех запросах. Что это такое — загуглишь уже сам.
Вот пример как все работает: http://pastehtml.com/view/btnn039pb.html (рекомендует пост с этой ссылкой и постит ВСЕ ЛЮБЯТ КУРКУМУ).
Вообще, такого лютого пиздеца я точно не ожидал, тем более с формой отправки поста. Надеюсь, хоть SQL-инъекций нету?

Recommended by:

@rman: Я ЛЮБЛЮ КУРКУМУ

and @nekoexmachina
1. Voker57 04.04.2012 19:12 nbl-desktop

С первыми двумя согласен, с рефером и токенами иди нахуй.

2. kurkumaVoker57 /1 04.04.2012 19:14 mind

Первые два — костыли, которые легко обходятся. Без проверки рефера и/или токена — защита лишь от совсем тупых хацкеров. Токена, впринципе, достаточно, учитывая, что он будет работать у всех, у кого форма и до этого работала (просто hidden с рандомным хешем)

3. kurkumaVoker57 /1 04.04.2012 19:16

отправку поста я, например, сделал через POST. это просто: создается форма и жавоскриптом отправляется (document.forms[0].submit()). если в onload у body засунуть — отправится сразу при загрузке страницы

4. 238328 04.04.2012 19:21

это чтобы редиректы не делать нормальные же

5. kurkuma238328 /4 04.04.2012 19:22 mind

какие редиректы?

6. 238328kurkuma /5 04.04.2012 19:22

назад

7. 238328 04.04.2012 19:25

алсо, никакой пост не отрекомендовался, а пост написался, пофикси

8. kurkuma238328 /7 04.04.2012 19:31 mind

мб арц уже пофиксил просто, про рекомендацию лаваш ему уже писал сегодня

9. arts 05.04.2012 07:09

Ок, сегодня починю.

10. kurkumaarts /9 05.04.2012 07:10 Логово быдлокода

мб еще потыкаю, может чего еще найду

11. kurkumaarts /9 05.04.2012 07:13 Логово быдлокода

в профиле вроде такая же хуйня, можно менять пароль тому, кто прошел по ссылке

Do you really want to delete ?