зачем искать дыры в движке, чтобы потом сливать их знакомому кул хацкеру, соответственно для хака.

[Я не програмер]

Здрасте, здрасте.
Ну по нику видно, что я кофейник. Посему краткая предистория:
Являюсь модеров официального сайта г. Зе-ск, что возле казани.
Зарегился у нас то ли мальчик, то ли муж. И очень не понравился ему наш форум, ну и мы в том числе. Пообещал, что прикроет нас через две недельки.
Так вот вопрос. нафига ему самому искать дыры в движке, чтобы потом сливать их знакомому кул хацкеру, соответственно для хака.
ээээ, дяденьки, ну мне так... для самоуспокоения... Или наоборот, для паники.
Коли нужно, могу дать сцылку на это место...

[SkyM@n]

Если вы модератор ("постоянно тыкающий носом на Правила" ), то почему САМИ в них не смотрите?
Посмотрите, советую, они ведь не сложные. И тогда найдете в вашем посте не одно нарушение

По сабжу - таких мальчикофф много, но часто слова с делом не связывается.. Ссылочку вы покажите, но разве это не проблема администратора сайта в первую очередь?

[Я не програмер]

В том то и дело, товарищ модератор, что у нас на форуме очень мало правил, вернее их почти нет... привычка знаете ли.
Но, извините, вам виднее.
Проблема админа. я в курсе. Дело в том, что его трудно раскачать.http://www.zelenodolsk.ru/cgi-bin/zd...ic_p=1&msg_p=4

[JTG]

Ну так а дырки-то есть?

[Я не програмер]

Ээээ, ну откуда ж я знаю Наверное есть, куда ж без них...

[JTG]

Не знаю, ну я полазил, стандартно потыкал кавычки, ксс, инклуды... ввод вроде везде фильтруется... Но это так, поверхностно

Да и если кто-то сильно хочет задефейсить сайт - это обычно делают сразу и без предупреждения ИМХО понты

----

Пусть админ тут глянет - по-моему (?) если паралельно открыть страницу удаления чужого сообщения и указать CGI_ID со страницы удаления своего сообщения (там где пароль не нужен), цифры проверочного кода и свой пароль - то можно удалить чужое сообщение

<form id="smpDeleteForm" name="smpDeleteForm" onsubmit="return smpDeleteForm_submit()" method="post"
action="/cgi-bin/zd/p_forum.pl"><input
type="hidden" name="CGI_ID" value="5034g347r" /><input
type="hidden" name="act" value="del_do" /><input
type="hidden" name="codeId" value="45109" /><input
type="hidden" name="msg_id" value="8903" /><input type=hidden name=forum_id value="1"><input type=hidden name=topic_id value="403"><input type=hidden name=topic_p value="1"><input type=hidden name=msg_p value="3">

[Я не програмер]

Угумс, отписал ему, спасибо...

[zetrix]

Вы модератор, и всё. Проблемы безопасности - это админа дело. А того юзера баньте по IP, пусть через прокси лазит и считает себя кул кацкером

P.S.: надеюсь это не реклама.

[Я не програмер]

Забанить его было бы слишком просто. К тому же возможность удаления аккуанта есть только у админа, а он у нас.. хе хе.

[zetrix]

Цитата:

Забанить его было бы слишком просто. К тому же возможность удаления аккуанта есть только у админа, а он у нас.. хе хе.

М.. удаление акк-а и бан - разные вещи
Если админ не обращает на это внимание - удаляйте посты этого человека и всё, остально Вас не должно волновать.