Помощь по проекту

Код для урока писан, зачем его раньше времени? Использует mysql сессии, обычные сессии он не использует, дабл хэш с солью, авторизация в общем контроллере по кукам, куки с солью и привязкой к ip, запросы к базе короткие, и так далее.. Возможные проблемы на раннем этапе - это раскрытие путей в (notice зависимых) слабых местах. Спать сегодня мне точно не грозит ))

(Отредактировано автором: 11 Января, 2010 - 23:21:15)

Раньше времени что?
Подозреваю что Вы довели его до состояния, когда посылаемым http-запросом его не получится ввести в некорректное состояние.
Когда я говорил о том, что и его можно сломать, то имел ввиду другие варианты для хакеров (как пример - атака на сервер провайдера с получением несанкционированного доступа). С точки же зрения алгоритмической правильности, скорее всего, причин для беспокойства нет.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Нет, такого пока нет. Обратным путём могут утащить хэши, но использовать их - врядли.

http://dynarec[dot]comuf[dot]com/

http://dynarec[dot]comuf[dot]com/index.php?do=secure - целевая защищённая зона
http://dynarec[dot]comuf[dot]com/index.php?do=register - регистрация
http://dynarec[dot]comuf[dot]com/index.php?do=login - аутентификация (выдача cookie)
http://dynarec[dot]comuf[dot]com/index.php?do=logout - выход (удаление cookie)

http://dynarec[dot]comuf[dot]com/index.php
->
Wats u want huh?
Может, имеет сысл назначить какое-либо действие по-умолчанию?

http://dynarec[dot]comuf[dot]com/index.php?do=fFfff
В ответ ничего, вернее это:


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Можно заменить index'ом, если пустой ввод.

Сейчас так:

Я в этой теме даже не писал ничего, а вы ко мне взываете)) Чего за продукт? как его поддерживать надо? Спокойной ночи, кстати. С опозданием немного, но да ладно
(Добавление)
На солёненькое потянуло?)

Доработала скрипт. После авторизации выводится массив с сессией (для дебагга). Под index'ом на главной.


Система регистрации. В будущем будет использована как пример для урока. Просто посмотреть нужно, как себя вести будет. )


Спасибо! 8 часов вышло на сон.

(Отредактировано автором: 12 Января, 2010 - 15:46:11)

А надо для этого всю тему читать или надо http://dynarec[dot]comuf[dot]com/ зайти сюда и тестить? Что-то я по любой из приведенный ссылок попадаю на www[dot]000webhost[dot]com/admin-review
Ну прям сколько и надо)

Да.

http://dynarec[dot]comuf[dot]com/index.php?do=secure - целевая защищённая зона
http://dynarec[dot]comuf[dot]com/index.php?do=register - регистрация
http://dynarec[dot]comuf[dot]com/index.php?do=login - аутентификация (выдача cookie)
http://dynarec[dot]comuf[dot]com/index.php?do=logout - выход (удаление cookie)
(Добавление)


Это, видимо, появившийся баннер хостера.

Это весьма странно. EuGen'а пустили, и меня пускает сейчас.
(Добавление)
Под проксей проверила - не работает. Видимо, придётся подождать, пока не включат.

Ладно, чёрт с ним, с хостом этим. Ничего хорошего. Вот новый, работающий: http://bestdynamic[dot]orgfree[dot]com/index.php

Электронный адрес пропустила не правильный))
Имя пользователя dfg'gh выводится со слешем.
?do=bring_to_eat не работает. Я думал, мне поесть принесут, а там - ноль реакции.
(Добавление)
А еще я хочу загружать аву, музыку, видео и просматривать данные других пользователей, а не только их логины.
(Добавление)
И логин из восьми кавычек не подходит по длине)

Будет теперь чем время занять, спасибо!


На сервере включены волшебные кавычки, а выключить пока не позволяют, у них он раз в день перезапускается.


Регулярка плохая.


Надо будет сделать там что-нибудь.



Хотела чат набросать, да пока с этими серверами возилась, не успела реализовать. Просмотр профиля точно будет, он как бы маст ниддэд.
Благодаря тебе заметила полу-XSS в выводе пользователей. С выводом поспешила там, нужно было в спешлчарс засунуть данные: