Приглашения (обновление)

Сообщение Nemezida » 07 мар 2021, 16:34

Собственно мод приглашений из двух страниц в кодировке UTF-8, у Юны он в дырках. :hehe:
Пример дырки: Делаем так запрос в адресную строку браузера:
Код: Выделить всё
ваш_сайт/takeinvite.php?id=1

и у нас выходит создание инвайт-кода БЕЗ ведома владельца этого самого кода. В данном примере код мы создали от лица Юзера 1 - Владельца сайта. Вместо 1 можно подставить любую цифру. Ну и самый пик - мы легко видим кода инвайтов другого юзвера. А просмотр чужих инвайт-кодов вот так (в примере Владелец сайта):
Код: Выделить всё
ваш_сайт/invite.php?id=1

00.jpg

:haha: :good: Так держать!
Ладно, файлы с архива залить в корень сайта с заменой. Теперь у вас не будет такой дырыщи больше. Да, из-под Владельца сайта только доступ к любым кодам инвайтов юзеров. Сам Владелец теперь только может удалить коды приглашений юзера. Собственно и сам юзер имеет полный доступ к СВОИМ инвайтам.

И немаловажный фактор! Теперь при запросе:
Код: Выделить всё
ваш_сайт/takeinvite.php?id=1

если запрос сделал не сам автор профиля, пошлет в далекие дали - сразу на главную. Можно было бы выписывать и кляп и запись в лог, но я не стал этого делать, хотя вы можете это сделать уже сами. Так сказать - посмотреть на недо-хацкеров.
01.png
02.png
03.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Nemezida
Администратор
Администратор
 
Сообщения: 661
Зарегистрирован: 20 сен 2019, 22:32

Вернуться в TBDeV

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1