Всем привет! Сделал на днях сайт http://svadebki.net. Просьба ко всем оценить сайт по дизайну, по работе, у кого как отображается, может по цветам что-то поменять, или кривые тексты. В общем выслушаю любые пожелания. Форум пока не работает. Ещё не заливал. А так всё остальное настроено и работает. Не стесняйтесь - жду Ваших оценок. Строго не судите. Это мой первый сайт! ________________________ Павел
1) Заходим в гостевую 2) отправляем любое сообщение 3) пишем в адрес Код (Text): javascript:while(1){ajax('POST','gb_sign.php','action','signgb');} 4) вауля! сотни одинаковых записей за секунды (я остановился через 3) да кстати, навигация по страницам в гостевой не работает.
как можно поставить фильтр на подобные хитрости? навигацию смотрел - всё работает. по ссылкам переходит
2 варианта: 1) капча (теоретически защитит и от спама), 2) запретить писать с одного IP чаще раза в несколько сек (как антифлуд здесь http://www.php.ru/forum/viewtopic.php?t=18274) в гугль хроме навигация не работала
фильтр поставил - с задержкой в одну минуту, но через этот код Код (Text): javascript:while(1){ajax('POST','gb_sign.php','action','signgb');} сообщения всё равно отправляются массово, несмотря на фильтр
в php файле с конфигами гостевой прописана команда Код (Text): $flood_protection = "1"; 1 - значит включена, 0 - выключена. в этот php файл не инклудятся никакие другие файлы. поэтому откуда берётся расшифровка этой команды - я просто не знаю
у меня w3c валидатор ругается что якобы не определён доктайп, хотя на самом деле он есть - HTML 4.01 Transitional это вообще критично? для раскрутки? и как поисковые роботы на это смотрят? хотя сайт отображается нормально.
ctrl+f и найди где юзается эта переменная. если нет регистрации то нужно ип и время сообщения сохранять куда то, или просто время в куки.
не смотрят вообще. чисто в целях самоусовершенствования можешь их исправить, но лично я на них ложил, ибо они не дружат с jquery элементами.
куки это меганенадежно, и по-моему он так и работает, при чем фильтр этот находится в javascript а не в php. Т.е. это может защитить только от придурка который захочет нафлудить вручную. В php, на сервере надо делать проверки.
нашёл я откуда берётся эта переменная. оказывается файл с конфигами инклудится (а не в него) в другой файл. там прописано условие (кусок из кода) Код (Text): if ($flood_protection != "0"){ if ($_COOKIE['signed'] == "yes") { echo("$la21"); exit; дописал на страницы доктайп - помоему jQ от этого ни горячо ни холодно - работает как и прежде. сайт рассчитан на узкий круг людей. думаю не найдётся идиотов, которые будут флудить на сайте, да и флудить в общем пока негде.
тогда раз уж вы не против, я проведу еще пару тестов. Мне в цикле успешно удалось записать 98 сообщений весом 127 кб каждое. Пока шла запись, главная страница сайта не открывлась. Тогда я решил проверить, какого размера можно записать сообщение максимум. В процессе записи 25 сообщений по 500 кб каждое, суммарный вес сообщений достиг такой планки, что php не хватает разрешенных на хостинге мегабайт оперативки, чтобы их обработать. Жаль, ведь у вас был шанс на самую тяжелую первую страницу гостевой в интернете: 12,5 мб. Мне кажется, таким способом можно быстро заполнить всё ваше место на хостинге. Короче, ограничение на длину сообщения надо поставить.
поставил ограничение на 500 символов. можете сейчас проверить на вшивость? )) правда тот хитромудрый ява-код так и работает (