Wpis z mikrobloga

@Klaus_Kinski chyba trzeba walidować

@Klaus_Kinski trzeba przejrzeć kod i funkcje, sanitizować dane wejściowe

@Klaus_Kinski wszędzie w kodzie PHP przy przekazywaniu parametrów należy się upewnić, że wartość należy do odpowiedniego zakresu, że nie zawiera apostrofow, encji, nawiasow, żeby nie dało się sprowokować kodu do wykorzystania w inny sposób, niż przewidział programista.

@Klaus_Kinski odezwij się na pw, to może uda się pomóc.

@Klaus_Kinski: dziurawa apka, korzystasz z jakiegoś gotowego CMSa czy robiony na zamówienie?

@Klaus_Kinski: to jest framework frontendowy, on nie ma nic do aplikacji na serwerze - a pytam o to co siedzi na serwerze :P

@Klaus_Kinski: zgłoś to jako bug, powinni za darmo zrobić poprawkę.

@Klaus_Kinski: powiedz mu, że po prostu dane wejściowe nie są walidowane po stronie serwera...

@qwertyu: parę level niżej, a w tej sytuacji funkcjonalność nadal ogranicza się do edycji wysyłanych danych. Dziura na 99% nie leży po stronie systemu operacyjnego ani serwera http - poszukiwania trzeba zacząć od aplikacji.

robione na zamowienie

@Klaus_Kinski: no to napisz do januszy co ci to robili na zamówienie :P

@Klaus_Kinski: pole w formularzu zawiera nick autora i jest oznaczone jako zablokowane do edycji?

@Klaus_Kinski w razie gdyby się migali żeby Ci to poprawić, napisz do mnie, pomogę. Nie powinno to być nic skomplikowanego

@Klaus_Kinski: Jeśli tak się da to najprawdopodobniej oznacza że nawet nie zaimplementowali sesji. Tylko sprawdzają czy nick jest w bazie i tyle. Jak tak zrobili, to zaimplementowanie tego równa się z przebudową praktycznie całego systemu kont (a raczej, stworzeniem go).

Ktoś kto bierze się za robienie stron na zamówienie powinien takie rzeczy mieć w małym palcu. Ehh.

Tutaj fajny wykład na podobny temat: https://www.youtube.com/watch?v=y4GB_NDU43Q :D