真的是太害羞了,我其實很久沒有 Google 自己了,沒想到一 Google 就發現了這篇文章:網頁攻擊的漏洞 – 是程式設計的錯 ? 還是你的錯 ?
其實這個 Vulnerability 是一個 known issue ,只是不好解,因為既有的使用者太多,要大家一一改網址不是很方便。至於不要用 auto_increment 的值來當 index 其實是個好建議,這可以降低被批次大量下載的機會,但還是防不了有心人一直下載同一張圖就是了。
(再強調一次把原本當作 index 的 ID 換成用另一組自己產生的 hash key 來查是個很好的作法 – 整篇文章的重點就在這兒)
針對這類問題,最好的解法是限制同一 IP 的流量或是連線數量,不過這可能要用到 Squid 算算術,太難了,以後再來研究…
最近有玩一下 CodeIgniter ,也趁機把架構改寫了,檢核機制應該比以前好很多(我是指被 XSS 或是 SQL Injection 的機率,但拜託不要因為這句話來爆破我)。我想應該未來幾年都可以基於這個架構做功能的增加 (WebMVC 的好處就是開發真的很快)
不過…俗話說「死道友不死貧道」,所以其實抵禦此類攻擊最佳解法是把主機託管 XD
我只是純粹測試探討罷了 @@
自動增加序號還是有它使用的價值 XD
無聊在看大家在設定 ID 的寫法…
^^ 見笑了
別客氣!我覺得很有參考價值耶!以後可以避免類似的問題發生 (good idea)
至少增加被下載的難度,也是好的 ^__^
我使用Mac,在SiteStates裡,完全無法填寫資料。之前申請過帳號,忘了。並不想在網站上出現計時器,也沒張貼語法在網頁裡,但不曉得為何,它最近竟出現在首頁不適當處。
我被迫來這邊留言。因為那邊無論輸入啥都無法成功。
希望你能回答我的問題,幫我解決一下,我不要計時器了。
很遺憾您沒辦法在那邊輸入資料,也很抱歉您必須被迫來留言。
另外:要用隱藏模式的話,必須先 1.轉換帳號 2.登入選擇原本您的計數器,然後改成隱藏模式。
幫R大測試用iphone登入一切正常
若沒貼語法,計數器不會突然出現在網頁上
嗨,型男
看到你耍害羞實在太害羞了噢噢
幫你加10分
—
1.我其實是來找IP的 XD
2.你的email認證好嚴格啊 (/‵Д′)/~ ╧╧
hi, cha:
email 必須輸入符合 email 格式的字串才可以通過,不過不用認證喔,註冊過了就過了!
🙂