- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В комментах у меня разрешены бб-тэги. Вот думаю, можно ли обойти в данном случае проблему безопасности. То, что js-код подсовывают - это одно и должно присекатся. Проблема в другом. Если написать что то вроде [ img ]http://site/admin/users/delete.php?id=1 ,то после просмотра этого коммента админом он сам себя удалит:D (ну это базово, просто мысль показать). Вот думаю, что с этим стоит делать... Работать это будет, если для этого действия нужны только GET параметры...
Toshka, по-моему, в описанном случае это проблема не bb-тегов, а вашей системы безопасности.
А так - проверяйте, картинка ли то, что вам подсовывает юзер.
Ну скажем так, никакой проблемы у меня нет:) Просто пришла в голову такая мысль...
Проверять расширение надо конечно, но это обойти можно (зависит от алгоритма конечно)
Toshka, а вы не только расширение проверяйте, но и сам файл.
после просмотра этого коммента админом он сам себя удалит
Ох, ничего себе! :)
1. У вас админка не защищена вовсе? Даже не переспрашивает, удалить ли самого админа, не говоря уже о юзерах?
2. Проверьте подгружаемый имидж, верно говорит Николай В.. Один только getimagesize() даст вам тонну полезной информации.
3. Постарайтесь вообще хранить подгружаемые картинки локально. Представьте, как нехорошо выглядит дырка от имиджа, который кто-то снес на удаленном хосте.
Ну скажем так, никакой проблемы у меня нет
Ещё как есть, админка должна защищаться от таких "финтов" способов куча но в данном случае надо доработать скрипт чтоб юзеры удалялись не при обращении на "admin/users/delete.php?id=1" а например "admin/users/delete.php?id=1&fuckyou=8572495" где второй параметр зависил бы от пользователя (а ещё лучше даже от каждой его сессии)
В админке должна быть защита от удаления по одному клику. Либо такое удаление делают с дополнительным подтверждением (вы действительно хотите удалить?), либо ставят уникальный ID в ссылку.
BB теги тут совершенно не причем.