Cross-Site Request Forgery (CSRF/XSRF)

Atmas (24.08.2011/09:48)
Но на выводе, с тем же prepare и exec все равно нужно будет фильтровать injection

AlkatraZ, Джон уязвим к CSRF.

Azq2 (05.12.2011/12:52)
AlkatraZ, Джон уязвим к CSRF.

localhost (05.12.2011/13:11)
Стоп, то есть а так понял что например сюда на форум можно написать с другого сайта тупо создав форму?
Глупость и идиотезм,ключом для записи в базу тут на форуме служит сам ид пользователя.

Dimario (05.12.2011/13:13)
это можно через CURL сделать, от него не спастись

localhost (05.12.2011/13:15)
один хрен тупость.
что касается защиты то это не представляет особой опасности.все фильтруется прежде чем вывести или записать.
Что касается установки линков(как в примере на хабре) то в джоне таког

Это довольно интересный метод атаки, и универсальной защиты от него пока не придумали.
Просто надо думать, прежде чем что то делать, и тем более нажимать на левые ссылки

Вижу, вы не понимаете даже что это за вид атаки.

Бред сивой кобылы,на примере покажите

Если только в модулях, в аплоаде кривом, но обычно проверяют расширение, единственное могут забыть вписать .htaccess . А так все вредоносные расширения прописываем обработать как текст в .htaccess и это уже как минимум на 99% защитит. Даже если через курл подменять content-type , или другое. Можно даже для защиты делать массив в котором ключ это расширение файла, а значение его тип