實在是太害羞了…

真的是太害羞了,我其實很久沒有 Google 自己了,沒想到一 Google 就發現了這篇文章:網頁攻擊的漏洞 – 是程式設計的錯 ? 還是你的錯 ?

其實這個 Vulnerability 是一個 known issue ,只是不好解,因為既有的使用者太多,要大家一一改網址不是很方便。至於不要用 auto_increment 的值來當 index 其實是個好建議,這可以降低被批次大量下載的機會,但還是防不了有心人一直下載同一張圖就是了。

(再強調一次把原本當作 index 的 ID 換成用另一組自己產生的 hash key 來查是個很好的作法 – 整篇文章的重點就在這兒)

針對這類問題,最好的解法是限制同一 IP 的流量或是連線數量,不過這可能要用到 Squid 算算術,太難了,以後再來研究…

最近有玩一下 CodeIgniter ,也趁機把架構改寫了,檢核機制應該比以前好很多(我是指被 XSS 或是 SQL Injection 的機率,但拜託不要因為這句話來爆破我)。我想應該未來幾年都可以基於這個架構做功能的增加 (WebMVC 的好處就是開發真的很快)

不過…俗話說「死道友不死貧道」,所以其實抵禦此類攻擊最佳解法是把主機託管 XD

Posted in computers
7 comments on “實在是太害羞了…
  1. Ausir says:

    我只是純粹測試探討罷了 @@

    自動增加序號還是有它使用的價值 XD

    無聊在看大家在設定 ID 的寫法…

    ^^ 見笑了

    • roga says:

      別客氣!我覺得很有參考價值耶!以後可以避免類似的問題發生 (good idea)

      至少增加被下載的難度,也是好的 ^__^

  2. clai says:

    我使用Mac,在SiteStates裡,完全無法填寫資料。之前申請過帳號,忘了。並不想在網站上出現計時器,也沒張貼語法在網頁裡,但不曉得為何,它最近竟出現在首頁不適當處。

    我被迫來這邊留言。因為那邊無論輸入啥都無法成功。

    希望你能回答我的問題,幫我解決一下,我不要計時器了。

    • roga says:

      很遺憾您沒辦法在那邊輸入資料,也很抱歉您必須被迫來留言。

      另外:要用隱藏模式的話,必須先 1.轉換帳號 2.登入選擇原本您的計數器,然後改成隱藏模式。

    • 豬小妹 says:

      幫R大測試用iphone登入一切正常
      若沒貼語法,計數器不會突然出現在網頁上

  3. 恰恰好來亂的 says:

    嗨,型男
    看到你耍害羞實在太害羞了噢噢
    幫你加10分

    1.我其實是來找IP的 XD
    2.你的email認證好嚴格啊 (/‵Д′)/~ ╧╧

    • roga says:

      hi, cha:

      email 必須輸入符合 email 格式的字串才可以通過,不過不用認證喔,註冊過了就過了!

      🙂

Leave a Reply

Your email address will not be published.