< HomePage
<- Предишен запис (2010-02-28) | Дневника | Следващ запис (2010-03-08) ->

Архив

Понеделник, 1 Март 2010
a_mail_feedback ver. 0.02

a_mail_feedback ver. 0.02 01.03.2010
По съвет на читател на блога правя промени в файла feedback.php:
if($_POST['secCode'] != $_SESSION['secCode']) { header( "Location:
$error_url" ); exit ; }
да стане така:
if(($_POST['secCode'] != $_SESSION['secCode']) or
(strlen($_SESSION['secCode']) != 6)) { header( "Location: $error_url" );
exit ; }

Това беше породено от: ако потребителя достъпва директно feedback.php и подаде полетата +
secCode празно, преди captcha кода да е записал нещо в secCode в
сесията, сравнението ще мине успешно, и поща ще се изпрати. Това ти
отваря скрипта за класически mail bomb - Алекс Станев - за което благодаря.

Тука има една уговорка че файла feedback.php се достъпва директно! Вие може да имате CMS или selfmade дърво на сайта което да работи на принципа с основен файл извикваш други които вече правят интерфейса и функционалностите като:
main.php?a=contacts&b=index където contacts е директорията в която са файловете на скрипта и index-а. Тогава може да защитим feedback.php чрез .htaccess с:
<Files feedback.php>
order allow,deny
deny from all
</Files>

Предварително ви благодаря за мненията ви.

Дневник: http://www.karatebulgaria.com/alex
За коментари: http://www.karatebulgaria.com/alex/addcomment.php/2010-02-29#add

[ Добави коментар ]
Valid XHTML 1.0! Valid CSS!