Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Код для урока писан, зачем его раньше времени? Использует mysql сессии, обычные сессии он не использует, дабл хэш с солью, авторизация в общем контроллере по кукам, куки с солью и привязкой к ip, запросы к базе короткие, и так далее.. Возможные проблемы на раннем этапе - это раскрытие путей в (notice зависимых) слабых местах. Спать сегодня мне точно не грозит ))
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Ammy пишет:
зачем его раньше времени?
Раньше времени что?
Подозреваю что Вы довели его до состояния, когда посылаемым http-запросом его не получится ввести в некорректное состояние.
Когда я говорил о том, что и его можно сломать, то имел ввиду другие варианты для хакеров (как пример - атака на сервер провайдера с получением несанкционированного доступа). С точки же зрения алгоритмической правильности, скорее всего, причин для беспокойства нет.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Ammy
Отправлено: 11 Января, 2010 - 23:39:14
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Нет, такого пока нет. Обратным путём могут утащить хэши, но использовать их - врядли.
Ammy
Отправлено: 12 Января, 2010 - 15:19:46
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Я в этой теме даже не писал ничего, а вы ко мне взываете)) Чего за продукт? как его поддерживать надо? Спокойной ночи, кстати. С опозданием немного, но да ладно (Добавление)
Ammy пишет:
хэш с солью, авторизация в общем контроллере по кукам, куки с солью
На солёненькое потянуло?)
Ammy
Отправлено: 12 Января, 2010 - 15:44:06
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Доработала скрипт. После авторизации выводится массив с сессией (для дебагга). Под index'ом на главной.
Цитата:
Я в этой теме даже не писал ничего)) Чего за продукт? как его поддерживать надо?
Система регистрации. В будущем будет использована как пример для урока. Просто посмотреть нужно, как себя вести будет. )
Цитата:
Спокойной ночи, кстати. С опозданием немного, но да ладно
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
Champion пишет:
Что-то я по любой из приведенный ссылок попадаю на www.000webhost.com/admin-review
Ammy
Отправлено: 12 Января, 2010 - 16:00:39
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Это весьма странно. EuGen'а пустили, и меня пускает сейчас. (Добавление)
Под проксей проверила - не работает. Видимо, придётся подождать, пока не включат.
Ammy
Отправлено: 12 Января, 2010 - 18:11:33
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
Электронный адрес пропустила не правильный))
Имя пользователя dfg'gh выводится со слешем.
?do=bring_to_eat не работает. Я думал, мне поесть принесут, а там - ноль реакции. (Добавление)
А еще я хочу загружать аву, музыку, видео и просматривать данные других пользователей, а не только их логины. (Добавление)
И логин из восьми кавычек не подходит по длине)
Ammy
Отправлено: 12 Января, 2010 - 20:14:51
Частый гость
Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Будет теперь чем время занять, спасибо!
Champion пишет:
Имя пользователя dfg'gh выводится со слешем.
На сервере включены волшебные кавычки, а выключить пока не позволяют, у них он раз в день перезапускается.
Цитата:
Электронный адрес пропустила не правильный))
Регулярка плохая.
Цитата:
?do=bring_to_eat не работает. Я думал, мне поесть принесут, а там - ноль реакции.
Надо будет сделать там что-нибудь.
Цитата:
А еще я хочу загружать аву, музыку, видео и просматривать данные других пользователей, а не только их логины.
Хотела чат набросать, да пока с этими серверами возилась, не успела реализовать. Просмотр профиля точно будет, он как бы маст ниддэд.
Благодаря тебе заметила полу-XSS в выводе пользователей. С выводом поспешила там, нужно было в спешлчарс засунуть данные:
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.