Cross-Site Request Forgery (CSRF/XSRF)

Atmas (24.08.2011/09:48)
Но на выводе, с тем же prepare и exec все равно нужно будет фильтровать injection

Возможно от xss?

AlkatraZ, Джон уязвим к CSRF.

Azq2 (05.12.2011/12:52)
AlkatraZ, Джон уязвим к CSRF.

Стоп, то есть а так понял что например сюда на форум можно написать с другого сайта тупо создав форму?
Глупость и идиотезм,ключом для записи в базу тут на форуме служит сам ид пользователя.

localhost (05.12.2011/13:11)
Стоп, то есть а так понял что например сюда на форум можно написать с другого сайта тупо создав форму?
Глупость и идиотезм,ключом для записи в базу тут на форуме служит сам ид пользователя.

это можно через CURL сделать, от него не спастись

Dimario (05.12.2011/13:13)
это можно через CURL сделать, от него не спастись

один хрен тупость.
что касается защиты то это не представляет особой опасности.все фильтруется прежде чем вывести или записать.
Что касается установки линков(как в примере на хабре) то в джоне такого нет.и с помощью гета не ставится ни одна ссылка,ни одно поле и так далее.

localhost (05.12.2011/13:15)
один хрен тупость.
что касается защиты то это не представляет особой опасности.все фильтруется прежде чем вывести или записать.
Что касается установки линков(как в примере на хабре) то в джоне таког

почему же ставятся, только все гет переменные нужные для работы фильтруются.

Это довольно интересный метод атаки, и универсальной защиты от него пока не придумали.
Просто надо думать, прежде чем что то делать, и тем более нажимать на левые ссылки

Вижу, вы не понимаете даже что это за вид атаки.

Бред сивой кобылы,на примере покажите

Если только в модулях, в аплоаде кривом, но обычно проверяют расширение, единственное могут забыть вписать .htaccess . А так все вредоносные расширения прописываем обработать как текст в .htaccess и это уже как минимум на 99% защитит. Даже если через курл подменять content-type , или другое. Можно даже для защиты делать массив в котором ключ это расширение файла, а значение его тип