בעית "טופס פרוץ"

[skaz]

יש לך דף עם טופס
יש לך דף שמעביר את הנתונים מהטופס למסד.

בדף עם הטופס אתה מגדיר משתנה - flag=1 למשל.
לאחר השליחה של הנתונים, אתה עובר לדף שמעביר את הנתונים למסד, יחד איתך עובר גם המשתנה שהגדרת בדף הראשון (יכול לעבור דרך מסד, דרך GET).

בדף השני אתה בודק אם flag=1 אתה ממשיך רגיל, אם לא אתה מציג שגיאה, אם העברת את flag דרך מסד אז בסוף הקובץ אתה כמובן מאפס אותו שוב.

בנוסף לדרך הזו יש את הדרך עם ה session.
שתי הדרכים טובות אך אם משקיעים קצת יותר מחשבה גם הן ניתנות לפריצה.

דרך טיפה יותר טובה היא לעשות "מספר מזהה" רנדומאלי יחד עם שליחת הטופס, כמו שיש בדרך כלל בהרשמות לפורומים.

[eLad]

ציטוט:

נכתב במקור על ידי skaz

בדף עם הטופס אתה מגדיר משתנה - flag=1 למשל.
לאחר השליחה של הנתונים, אתה עובר לדף שמעביר את הנתונים למסד, יחד איתך עובר גם המשתנה שהגדרת בדף הראשון (יכול לעבור דרך מסד, דרך GET).

אני מוריד את הטופס למחשב ושולח אותו ככה:
www.domain.co.il/page.aspx?flag=1

פרצתי לך את "ההגנה"

ציטוט:

נכתב במקור על ידי skaz

בנוסף לדרך הזו יש את הדרך עם ה session.
שתי הדרכים טובות אך אם משקיעים קצת יותר מחשבה גם הן ניתנות לפריצה.

אני מוריד את הטופס למחשב שלי, עורך אותו כאוות נפשי. ביינתים, הדף שנמצא על השרת שלך עדיין פתוח אצלי (כלומר קיים session) ואז אני עושה submit לטופס ..

פרצתי לך את "ההגנה"

ציטוט:

נכתב במקור על ידי skaz

דרך טיפה יותר טובה היא לעשות "מספר מזהה" רנדומאלי יחד עם שליחת הטופס, כמו שיש בדרך כלל בהרשמות לפורומים.

אני יכול להקיש את המספר הרנדומאלי, זה לא מה שיעצור אותי וחוץ מזה, היום יש שיטות די קלות לזייף מספר רנדומאלי, רוצה לשמוע?

אני מקים אתר סקס וכדי לצפות בתמונה צריך להקיש מספר רנדומאלי
עכשיו, אני לא יוצר את המספר הרנדומאלי הזה, אלא לוקח אותו מהאתר שלך (iframe, xmlHTTP או כל דרך אחרת שאבחר) והגולש באתר הסקס שלי יקיש את המספר הרנדומאלי אצלי בטופס.. אם באתר שלך המספר הזה התקבל, באתר שלי הגולש ייראה את התמונה (הפורנוגראפית) שרצה לראות ואני אוכל לבצע את מה שאני רוצה אצלך בטופס אוטומטית.


לשואל השאלה,
תוודא את הנתונים בצד שרת עוד ותחליף תווים בעייתים