	29.03.10	Бложек восстановлен Сегодня счетчики комментариев наконец-то были восстановлены. Также исправлена критическая уязвимость, из-за которой это и произошло. А теперь расскажу подробнее о произошедшем. В блоге не была предусмотрена защита на случай, если запрошен неправильный ID-записи, например: http://vladikcomper.110mb.com/blog/?id=99999 http://vladikcomper.110mb.com/blog/?id=ablableh В этом случае отображалась пустая новость, однако на страницу также автоматически ставилась форма отправки комментария. То есть можно было комментировать несуществующую запись. Это заметил один из пользователей, который также пытался найти лазейку системе отправки сообщений, чтобы вставлять в них HTML-тэги и даже PHP-сценарии. Но, вот самое интересное. Код в моем блоге был рассчитан на то, что ID состоит из цифр, на нем завязаны некоторые циклы, опредления номера строки для установки поинтеров. Поражаюсь, что код выдержал испытание и не запорол содержимое жизненно-важных файлов. Значит не все в моем кодике так плохо (: Теперь и эта лазейка закрыта, а бложик готов к новым испытаниям!

Бложек восстановлен

Сегодня счетчики комментариев наконец-то были восстановлены. Также исправлена критическая уязвимость, из-за которой это и произошло.

А теперь расскажу подробнее о произошедшем.

В блоге не была предусмотрена защита на случай, если запрошен неправильный ID-записи, например:

http://vladikcomper.110mb.com/blog/?id=99999
http://vladikcomper.110mb.com/blog/?id=ablableh

В этом случае отображалась пустая новость, однако на страницу также автоматически ставилась форма отправки комментария.
То есть можно было комментировать несуществующую запись.

Это заметил один из пользователей, который также пытался найти лазейку системе отправки сообщений, чтобы вставлять в них HTML-тэги и даже PHP-сценарии.

Но, вот самое интересное. Код в моем блоге был рассчитан на то, что ID состоит из цифр, на нем завязаны некоторые циклы, опредления номера строки для установки поинтеров. Поражаюсь, что код выдержал испытание и не запорол содержимое жизненно-важных файлов. Значит не все в моем кодике так плохо (:

Теперь и эта лазейка закрыта, а бложик готов к новым испытаниям!

		Комментарии: Yanex - 29.03.2010 15:04 У.. стандартная ошибка :) xyz - 03.04.2010 20:13 хехе :) xyz - 04.04.2010 08:46 самое прикольное, что и у этой записи счетчик неправильный :))) vladikcomper - 06.04.2010 12:41 Фига себе, xyz, как ты смог оставить коммент у новости 999999? Не надо плиз так больше делать, восстанавливать все очень геморно, у меня уже 45 счетчиков, в которых уже трудно ориентироваться. Эх, значит, не готов бложик к таким испытаниям. vladikcomper - 06.04.2010 12:48 Тест xyz - 11.04.2010 16:30 vladikcomper, движок-то кривой :) фильтровать надо не только саму страницу новости, но и скрипт добавления комментариев кстати, как я понял, блог работает без sql-баз? vladikcomper - 12.04.2010 12:13 > кстати, как я понял, блог работает без sql-баз? Конечно, MySQL на 110mb.com платный. Поэтому все в файлах. xyz - 12.04.2010 18:35 vladikcomper, ну так этож мегаизврат при желании можно найти хостинг нахаляву с мускулом и без рекламы) vladikcomper - 15.04.2010 15:40 Я довольно много времени потратил на поиск хорошего хоста, просмотрел кучу вариантов, и вменяемее 110mb.com ничего не нашел. Правда. Интернет меняется, сейчас все думают только о том как бы подзаработать, нормального ничего не осталось - все стараются впихнуть рекламу и прочие издевательства. Были подходящие хостеры, но регистрация на них были либо закрыта, либо по инвайту, либо по вообще не работала. illuminatys - 23.07.2011 16:37 можно поставить такой скрипт http://chasersoft.ucoz.ru/Co.png vladikcomper - 24.07.2011 18:35 Этот скриншот мало говорит о скрипте, на чем он написан, что использует, как называется. Выглядит неплохо, в меру наворочено, но нет. Я свой бложек писал с нуля, без каких-либо движков/скриптов, и не хочу от своих наработок оказываться. Скоро вот собираюсь его переписать. Но опять же, все будет своим.

vladikcomper - 06.04.2010 12:41
Фига себе, xyz, как ты смог оставить коммент у новости 999999? Не надо плиз так больше делать, восстанавливать все очень геморно, у меня уже 45 счетчиков, в которых уже трудно ориентироваться.
Эх, значит, не готов бложик к таким испытаниям.

vladikcomper - 06.04.2010 12:48
Тест

xyz - 11.04.2010 16:30
vladikcomper, движок-то кривой :)
фильтровать надо не только саму страницу новости, но и скрипт добавления комментариев
кстати, как я понял, блог работает без sql-баз?

vladikcomper - 12.04.2010 12:13
> кстати, как я понял, блог работает без sql-баз?
Конечно, MySQL на 110mb.com платный. Поэтому все в файлах.

xyz - 12.04.2010 18:35
vladikcomper,
ну так этож мегаизврат
при желании можно найти хостинг нахаляву с мускулом и без рекламы)

vladikcomper - 15.04.2010 15:40
Я довольно много времени потратил на поиск хорошего хоста, просмотрел кучу вариантов, и вменяемее 110mb.com ничего не нашел. Правда. Интернет меняется, сейчас все думают только о том как бы подзаработать, нормального ничего не осталось - все стараются впихнуть рекламу и прочие издевательства. Были подходящие хостеры, но регистрация на них были либо закрыта, либо по инвайту, либо по вообще не работала.

illuminatys - 23.07.2011 16:37
можно поставить такой скрипт
http://chasersoft.ucoz.ru/Co.png

vladikcomper - 24.07.2011 18:35
Этот скриншот мало говорит о скрипте, на чем он написан, что использует, как называется. Выглядит неплохо, в меру наворочено, но нет.
Я свой бложек писал с нуля, без каких-либо движков/скриптов, и не хочу от своих наработок оказываться.
Скоро вот собираюсь его переписать. Но опять же, все будет своим.

Бложек восстановлен

Комментарии: