Покинул форум
Сообщений всего: 354
Дата рег-ции: Янв. 2011 Откуда: Пружаны Бресткая обл. Беларусь
Помог: 2 раз(а)
здравствуйте
подскажите
на моём сайтике сделал страницу админа на ней выводятся последние добавленые картинки я их гляжу и удаляю если что, страницу вставил вчера , она явно в ссылках на сайте не прописана обслуживает тестовую таблицу, проверку по имни пользователя пока не поставил ведь тока внедрил вчера для тестов И ВОТ УЖЕ СЕГОДНЯ ИЗ ТЕСТОВОЙ ТАБЛИЦЫ ВСЕ ссылки на КАРТИНКИ УДАЛЕНЫ И КАРТИНКИ ТОЖЕ!!!
подскажите ведь я полагаю простой пользователь не мог залесть на страницу не видя ссылки явно и паудалять (2 посещения за день) возможно это РОБОТЫ походили по ссылкам на странице и паудаляли всё.
как быть ведь надо будет подключить страницу к реальным таблицам - поставить проверку логина и пароля или как то ещё защититься?
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
0. Сделать авторизацию (логин/пароль, htaccess и т.п.)
1. Не делать ссылки, которые меняют данные при вызове (обычное правило - все то, что меняет данные - это POST+перенаправление; GET - только отображение данных)
2. Возможно, нужно сделать защиту по IP-адресу посетителя (не обязательно, но несколько повышает безопасность)
3. Не удалять контент по запросу, а перемещать его, например, в подкаталог "trash", чтобы потом можно было решить, удалять на самом деле или нет.
4. Внимательно следить за тем, что делаете в соответствии с логикой работы веб-сайта (хотя этот пункт лучше поставить под номер 0..)
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
broshurkaplus
Отправлено: 20 Марта, 2011 - 19:28:56
Посетитель
Покинул форум
Сообщений всего: 354
Дата рег-ции: Янв. 2011 Откуда: Пружаны Бресткая обл. Беларусь
Помог: 2 раз(а)
ДА,,,,,млин понятно...
тока кто паудалял роботы по гету наверно ведь страница в ссылках не прописана?
в коде таки стоял ГЕТ на удаление
думаю сделать типа так
0 авторизация на конкретного пользователя те меня (вероятно никто не влезет по логину и хешам там паролей + шифрованый уник)
1 форму для ПОСТа - ввод пароля для удаления , в бд отдельную таблицу с парольм и сверять + фразу на подтверждение в эту табл и (менять её периодически ) если хочу удалить
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
А что с перенаправлением?
* пришел запрос через POST
* приняли, провели валидацию
* решили что с ним делать - и возможно, изменили данные
* перенаправили пользователя на другую страницу (возможно, на эту же самую)
Все, ничего лишнего.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
broshurkaplus
Отправлено: 20 Марта, 2011 - 19:48:26
Посетитель
Покинул форум
Сообщений всего: 354
Дата рег-ции: Янв. 2011 Откуда: Пружаны Бресткая обл. Беларусь
Помог: 2 раз(а)
тут ещё подумал - это для отдельного контента типа картинок и всего что хранится в файлах
а если в бд 5000 постов и ктото доберётся то ваще капец!
как быть с бд
или предложенный вариант решения данной задачи вполне оправдан и обладает защитными свойствами
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.