Имена участников (разделяйте запятой).
Так для того и использовать, чтобы прочитать скрытое поле в форме.
@Fell-x27, я перепутал только с тем, что это на одном из скринов. На остальных этого нет. --- Добавлено --- @BomChar, Вам уже сказали про 19ю строку
@Fell-x27, пользователь заходит на сторонний сайт, с которого отправляются от его имени запросы. Так?
Тут ошибки похлеще будут. Очень много попыток присвоить значение константам (на одном изи скриншотов). Если это переменные, то поставьте знак $...
@mahmuzar, а POST-запрос для получения токена посылает скрипт, который загружается с помощью GET-запроса? Где-то в этой цепочке всегда будет не...
@Deonis, при том что GET не защищен и через него выдается страница с формами и токенами.
@romach, а как его еще передать пользователю? Он же заходит на страницу гет-запросом.
Меня не покидает один вопрос - нужен ли вообще токен в таком случае? Если с другого домена можно послать GET запрос от лица пользователя, то и...
Вас не смущает данная конструкция: $online_tuesday == 3600>=4 Это то же самое, что $online_tuesday == true
Ок. Возможно.
Я надеюсь сюда скрипт внедрить непросто. Может мы все-же обсуждаем не токен, а секретный ключ, на основе которого генерируется токен?
Скопирует со страницы пользователя с помощью скрипта. И как может форма протухнуть, если токен не меняется?
@artoodetoo, если токен один - злоумышленник копирует его в свою форму и отправляет запрос на сервер - разве его что-то остановит? P.S.: ИМХО...
Ну если штамп времени - то на одной странице должен быть один. Кстати второй параметр - это id пользователя. Я прав? Тут да. Об одном. Но далее...
@artoodetoo, с этим справляются сессии и без токенов. Токены для того, чтобы идентифицировать формы - то, что они были сгенерированы сервером. А...
@Fell-x27, у Вас на форуме на каждую форму свой токен, который содержит штамп времени и еще чего-то.
Это асинхронные запросы? Если пользователю нужно отправлять несколько запросов с одной страницы - тогда запрос будет все равно один (одного типа)...
Наверное все дело в фигурных скобках от while, которых не видно че-то. И поэтому в цикле выполняется только вторая строка.
Токены всегда одноразовые - иначе в них нет смысла. Но с Вашим мнением согласны многие