Merhaba Evet bugün benim site için bir hack keşfetti.

(Benim communitysite olarak), kullanıcıların duvara bir msj yazarken o db msg eklemek için, bir ajax arama çalıştırır ve sonra olacak başarı slayt aşağı ve göstermek.

Hiçbir sorun ile çalışıyor.

Yani, alittle yeniden düşünülmesini edildi ben bunun için POST yöntemleri kullanıyorum ve GET yöntemi ise kolayca yapabilirdi? Msg = haxmsg & usr = 12345679. Ama POST yöntemi gelip ne yapabilirdi?

Ben (normalde ajax kullanılmaktadır dosyası), yeni bir html belge yapılmış bir form yaptı ve eylem i "site.com / insertwall.php" set, i yapıyorum aynen gibi isimler ile bazı girdi alanları yaptı ajaxCall (msg, uid (userid), Buid (adınız) tarafından) ve bir gönderme düğmesi yaptı.

Ben giriş gerektirir ve öyle eğer index.php başlığının hangi bir page_protect () fonksiyonu var biliyorum. Yani ben kaydedilir (benim site.com başladı oturum) ve sonra bu teslim düğmeye bastı. Ve sonra Wops ben yeni bir mesaj yaptı ki benim sitede gördüm.

Ben o kadar kolay ben belki biraz daha güvenli ya da bir şey olduğunu düşündüm POST yöntemini kaçırmak oldu, vay gibiydi.

Ben bu kaçırma önlemek için neler yapabileceğini bilmek istersiniz? Ben bile gerçek hackerlar bu "delik" ile neler yapabileceğini bilmek istemem gibi. Page_protect oturumları böylece aynı http kullanıcı ajan olduğunu ve korur ve bu (giriş yapmadan formunu çalıştırmak için çalıştı, ve sadece Başlangıç ​​sayfasına bana başlıklarını) ama evet oturum anlamaya uzun zaman ayırın olmaz çalışıyor Birinci ve daha sonra çalıştırın.

Herhangi tavsiyeleri çok takdir edilmektedir. Benim ajax mümkün olduğunca en güvenli çağırır ve hepsi POST yöntemiyle çalışan tutmak istiyorum. Ben sunucu veya bir şey geldiğini kontrol etmek için, insertwall.php ne yapabilirdi ..

Teşekkür ederim