Тестаните ресурсик плиз.
Спасиб, исправил
Ещё что нибудь?
Самое главное что бы нельзя было дать прямую ссылку на какой-нибудь фаил. Если кто-то сможет, скажите как (заделать надо)
Ещё что нибудь?
Самое главное что бы нельзя было дать прямую ссылку на какой-нибудь фаил. Если кто-то сможет, скажите как (заделать надо)
при открытии ссылки вида http://www.koryan.1gb.ru/download.php?type=xxx&id=39 вылезает лажа, я не пробовал играться с параметрами, но чует мое серцэ, что mailformed URL уязвимость там мона сделать... Обязательео проверяй type на наличие ".","/" и подобных символов.
вечером если будет время покопаюсь еще. Если скинешь код - могу посмотреть и указать, где могут быть проблемы и как их избежать. Бесплатно, из любви к искусству. ПМ если что.
вечером если будет время покопаюсь еще. Если скинешь код - могу посмотреть и указать, где могут быть проблемы и как их избежать. Бесплатно, из любви к искусству. ПМ если что.
1. Почитай про инъективные атаки. Например, здесь: http://detail.phpclub.net/magazine/2004/08/?printVersion=1. Сейчас я могу грохнуть твою базу данных за пять минут.
2. Чтобы предотвратить прямые ссылки, можно привязывать урл к ip-адресу компьютера. То есть, перед отрисовкой определяешь ip удалённого пользователя и подписываешь все ссылки. Таким образом, ссылка ...&id=45 превращается в что-то типа ...&id=45a{секретное преобразование от ip и id}.
При попытке скачать файл, проверяешь, корректную ли строку тебе дали. Здесь "a" использован для разделителя - чтобы отделить подпись от значения id.
Что-то подобное реализовано на wzor.net
2. Чтобы предотвратить прямые ссылки, можно привязывать урл к ip-адресу компьютера. То есть, перед отрисовкой определяешь ip удалённого пользователя и подписываешь все ссылки. Таким образом, ссылка ...&id=45 превращается в что-то типа ...&id=45a{секретное преобразование от ip и id}.
При попытке скачать файл, проверяешь, корректную ли строку тебе дали. Здесь "a" использован для разделителя - чтобы отделить подпись от значения id.
Что-то подобное реализовано на wzor.net
+1 (полностью согласен с предыдущим оратором)
Оставить комментарий
Ivan826
Есть ресурс. www.koryan.1gb.ru Пока до конца не готов (флеш-меню надо перебить, пока по нижнему можно гулять) Потестите плиз на возможность взять прямую ссылку на варез, стойкость и т.д.Только одна прозьба, если найдёте что-то серьёзное, не валите ресурс, а напишите здесь