здравствуйте
подскажите
на моём сайтике сделал страницу админа на ней выводятся последние добавленые картинки я их гляжу и удаляю если что, страницу вставил вчера , она явно в ссылках на сайте не прописана обслуживает тестовую таблицу, проверку по имни пользователя пока не поставил ведь тока внедрил вчера для тестов И ВОТ УЖЕ СЕГОДНЯ ИЗ ТЕСТОВОЙ ТАБЛИЦЫ ВСЕ ссылки на КАРТИНКИ УДАЛЕНЫ И КАРТИНКИ ТОЖЕ!!!
подскажите ведь я полагаю простой пользователь не мог залесть на страницу не видя ссылки явно и паудалять (2 посещения за день) возможно это РОБОТЫ походили по ссылкам на странице и паудаляли всё.
как быть ведь надо будет подключить страницу к реальным таблицам - поставить проверку логина и пароля или как то ещё защититься?
спасибо
1. broshurkaplus - 20 Марта, 2011 - 19:06:15 - перейти к сообщению
2. EuGen - 20 Марта, 2011 - 19:09:55 - перейти к сообщению
0. Сделать авторизацию (логин/пароль, htaccess и т.п.)
1. Не делать ссылки, которые меняют данные при вызове (обычное правило - все то, что меняет данные - это POST+перенаправление; GET - только отображение данных)
2. Возможно, нужно сделать защиту по IP-адресу посетителя (не обязательно, но несколько повышает безопасность)
3. Не удалять контент по запросу, а перемещать его, например, в подкаталог "trash", чтобы потом можно было решить, удалять на самом деле или нет.
4. Внимательно следить за тем, что делаете в соответствии с логикой работы веб-сайта (хотя этот пункт лучше поставить под номер 0..)
1. Не делать ссылки, которые меняют данные при вызове (обычное правило - все то, что меняет данные - это POST+перенаправление; GET - только отображение данных)
2. Возможно, нужно сделать защиту по IP-адресу посетителя (не обязательно, но несколько повышает безопасность)
3. Не удалять контент по запросу, а перемещать его, например, в подкаталог "trash", чтобы потом можно было решить, удалять на самом деле или нет.
4. Внимательно следить за тем, что делаете в соответствии с логикой работы веб-сайта (хотя этот пункт лучше поставить под номер 0..)
3. broshurkaplus - 20 Марта, 2011 - 19:28:56 - перейти к сообщению
ДА,,,,,млин понятно...
тока кто паудалял роботы по гету наверно ведь страница в ссылках не прописана?
в коде таки стоял ГЕТ на удаление
думаю сделать типа так
0 авторизация на конкретного пользователя те меня (вероятно никто не влезет по логину и хешам там паролей + шифрованый уник)
1 форму для ПОСТа - ввод пароля для удаления , в бд отдельную таблицу с парольм и сверять + фразу на подтверждение в эту табл и (менять её периодически ) если хочу удалить
такое более менее?
и подробнее про пренаправление сдесь
спасибо
тока кто паудалял роботы по гету наверно ведь страница в ссылках не прописана?
в коде таки стоял ГЕТ на удаление
думаю сделать типа так
0 авторизация на конкретного пользователя те меня (вероятно никто не влезет по логину и хешам там паролей + шифрованый уник)
1 форму для ПОСТа - ввод пароля для удаления , в бд отдельную таблицу с парольм и сверять + фразу на подтверждение в эту табл и (менять её периодически ) если хочу удалить
такое более менее?
и подробнее про пренаправление сдесь
спасибо
4. EuGen - 20 Марта, 2011 - 19:38:29 - перейти к сообщению
А что с перенаправлением?
* пришел запрос через POST
* приняли, провели валидацию
* решили что с ним делать - и возможно, изменили данные
* перенаправили пользователя на другую страницу (возможно, на эту же самую)
Все, ничего лишнего.
* пришел запрос через POST
* приняли, провели валидацию
* решили что с ним делать - и возможно, изменили данные
* перенаправили пользователя на другую страницу (возможно, на эту же самую)
Все, ничего лишнего.
5. broshurkaplus - 20 Марта, 2011 - 19:48:26 - перейти к сообщению
тут ещё подумал - это для отдельного контента типа картинок и всего что хранится в файлах
а если в бд 5000 постов и ктото доберётся то ваще капец!
как быть с бд
или предложенный вариант решения данной задачи вполне оправдан и обладает защитными свойствами
а если в бд 5000 постов и ктото доберётся то ваще капец!
как быть с бд
или предложенный вариант решения данной задачи вполне оправдан и обладает защитными свойствами