https://secure.wikimedia.org/wikipedia/r...
Во-первых, все запросы изменяющие данные должны идти через POST. GET только на вывод данных. Никаких блять /postid/r и прочего.
Во-вторых, если данные передаются POST'ом, то какого хуя GET тоже катит? Это я по поводу /post?text=Я%20СОСУ%20ХУИ.
В-третьих, проверяй рефер. Шли все запросы нахуй, если рефер не с psto.net. Параноики с принудительно пустым рефером поймут.
В-четвертых, юзай токены во всех запросах. Что это такое — загуглишь уже сам.
Вот пример как все работает: http://pastehtml.com/view/btnn039pb.html (рекомендует пост с этой ссылкой и постит ВСЕ ЛЮБЯТ КУРКУМУ).
Вообще, такого лютого пиздеца я точно не ожидал, тем более с формой отправки поста. Надеюсь, хоть SQL-инъекций нету?
@rman: Я ЛЮБЛЮ КУРКУМУ
and @nekoexmachina
11 comments
recommend
bookmark
subscribe
С первыми двумя согласен, с рефером и токенами иди нахуй.
Первые два — костыли, которые легко обходятся. Без проверки рефера и/или токена — защита лишь от совсем тупых хацкеров. Токена, впринципе, достаточно, учитывая, что он будет работать у всех, у кого форма и до этого работала (просто hidden с рандомным хешем)
отправку поста я, например, сделал через POST. это просто: создается форма и жавоскриптом отправляется (document.forms[0].submit()). если в onload у body засунуть — отправится сразу при загрузке страницы
это чтобы редиректы не делать нормальные же
какие редиректы?
назад
алсо, никакой пост не отрекомендовался, а пост написался, пофикси
мб арц уже пофиксил просто, про рекомендацию лаваш ему уже писал сегодня
Ок, сегодня починю.
мб еще потыкаю, может чего еще найду
в профиле вроде такая же хуйня, можно менять пароль тому, кто прошел по ссылке