< HomePage
   <- Дневника

Добавяне на коментар

Понеделник, 1 Март 2010
a_mail_feedback ver. 0.02

a_mail_feedback ver. 0.02 01.03.2010
По съвет на читател на блога правя промени в файла feedback.php:
if($_POST['secCode'] != $_SESSION['secCode']) { header( "Location:
$error_url" ); exit ; }
да стане така:
if(($_POST['secCode'] != $_SESSION['secCode']) or
(strlen($_SESSION['secCode']) != 6)) { header( "Location: $error_url" );
exit ; }

Това беше породено от: ако потребителя достъпва директно feedback.php и подаде полетата +
secCode празно, преди captcha кода да е записал нещо в secCode в
сесията, сравнението ще мине успешно, и поща ще се изпрати. Това ти
отваря скрипта за класически mail bomb - Алекс Станев - за което благодаря.

Тука има една уговорка че файла feedback.php се достъпва директно! Вие може да имате CMS или selfmade дърво на сайта което да работи на принципа с основен файл извикваш други които вече правят интерфейса и функционалностите като:
main.php?a=contacts&b=index където contacts е директорията в която са файловете на скрипта и index-а. Тогава може да защитим feedback.php чрез .htaccess с:
<Files feedback.php>
order allow,deny
deny from all
</Files>

Предварително ви благодаря за мненията ви.

Дневник: http://www.karatebulgaria.com/alex
За коментари: http://www.karatebulgaria.com/alex/addcomment.php/2010-02-29#add

[ Добави коментар ]
Добавяне на коментар
Не пишете nicknames, освен ако не се обръщам така към вас!
user@example.com
http://www.example.com/

Коментарът трябва да е на кирилица или на английски. Останалите се трият.

Запомни адреса и името ми, за да не го пиша следващия път

Valid XHTML 1.0! Valid CSS!