Лекция: Пароль. Опять же GET легче поддается имитации - для его подделки необязательно копировать и
Модифицировать код формы, достаточно набрать в адресной строке браузера подходящий URL.
В-пятых, ошибочно хранить критичную информацию в открытых для доступа файлах. Можно, конечно,
Утешать себя мыслью, что адреса файлов еще надо определить, но в любом случае это решение нельзя признать
удачным: всегда есть шанс, что из-за плохой конфигурации сервера станет возможным просмотр списка файлов
В каталоге и паша информация будет выставлена на всеобщее обозрение; нельзя исключать возможность
Распространения нашего скрипта — он завоюет популярность, его исходные тексты станут доступными по всей
Сети, и месторасположение секретных файлов опять-таки перестанет быть тайной. Поэтому файлы с критичной
Информацией желательно располагать в местах, по возможности вынесенных за пределы дерева каталогов Web-
Сервера или хотя бы защищенных от чтения (например, при использовании Apache этого можно добиться,
Разместивв защищаемом каталоге файл .htaccess со строкой deny all внутри).
Источник многих проблем для сайтов с установленными гостевыми книгами (или аналогичными скринтами) -
Ь1ш1-тэги. Разрешив пользователю ввод тэгов, вы тем самым провоцируете атаку и на других пользователей, и
На сервер. Последнее возможно в случае, если сервер сконфигурирован таким образом, что файлы, создаваемые