Citat:
Originally posted by grr@Sep 14 2004, 15:34
Jag har kollat din sida nu. det du skulle göra först är att låsa ämnes fältet till READONLY så att ämnet alltid är kvar plus att du skickar med avsändarens ip. Jag har gjort så på loppis.
|
..och inte ha en massa hidden-fält med mottagar id i (väldigt lätt att göra en snurra för att skicka mail till alla dina användare)
Finns 2 sätt att snickra till detta som jag själv använder mig av:
* Kör inga "interna" user id's synliga utåt på webben. Jag har dubbla ID's för alla userid (eller annat data som jag inte vill göra så lätt att screen-scrape'a), där det ena ID är publikt och är en hashkod (MD5) och det andra är internt som används i mina SQL satser. Fördelen med att ha ett hash'at userid är att det inte finns någon logisk nummerföljd, således kan man inte lista ut vilka ID's dina användare har.
* Lägg med ytterligare ett hidden-fält med en hashkod (MD5 odyl) där du har hashat fram tex userid +annonsid + ett "salt" dvs ett ord som bara du vet om. Om inte hashkoden i hiddenfältet stämmer med dina uträkningar så är det någon som försöker "fejka" fram en submit utan att först ha läst den på din sida (dvs fått MD5'an genererad)