security

mar · Отправлено: **21:40, 11-07-2005** | #2

slaine

Цитата:

ограничил доступ
к скрипту до 1-раз в час(не жестоко?)

ну сам прикинь - тебе бы хватило?

Судя по

Цитата:

htmlspecialchars, addslashes

- php/mysql ?
тогда:
- Проверить register_globals в off и использование только $_GET['что_то_там'] и $_POST['что_то_там']
- как и что инклюдится?
- какие права у юзера, который "коннектится" к бд на бд?
Пока больше ничего в голову не приходит: маловато информаци и вообще жарко

Vlad Drakula · Конфигурация компьютера

mar
все это хорошо, но как правило ломают с помошью движка стилей...

mar · Отправлено: **00:20, 12-07-2005** | #4

Vlad Drakula
это для гостевой-то?
на самом деле не очень поняла - ты имеешь в виду xml? css? просто шаблоны? тогда какие? отпиши поподробней, pls

Vlad Drakula · Конфигурация компьютера

mar
1) теги разметки сообщений
2) евал при исполнении шаблонов

mar · Отправлено: **01:08, 12-07-2005** | #6

ну eval вставлять не надо, а теги разметки - не уверенна, что опасно, - не ткнешь в пример?

Vlad Drakula · Конфигурация компьютера

mar
опамен JS внутри тега А

slaine · Конфигурация компьютера

Цитата:

- как и что инклюдится?

иннклудится у меня подключение к БД, страничый вывод, удаление старых sid-ов..
так вот:

PHP код:


$conexion = "conexion.php";

include $conexion;

Цитата:

- какие права у юзера, который "коннектится" к бд на бд?

Поставить привилегии, как это делается? я незнаю.

Цитата:

mar
опамен JS внутри тега А

Постраничный вывод генерирует такие ссылки:

PHP код:


echo "<a href=".$URL."?start=".$num.">".($i + 1)."</a> . ";

я обрезал им http:// и ftp://, что ещё можно с ними сделать?

Vlad Drakula · Конфигурация компьютера

slaine
нет... я о том как организуется теги разметки в нутри сообщений (если они таковые есть...)