Безопасность на вконтакте.

[khim]

Это у Хабраадминистрации нужно спросить - Хабр то же самое делает с URLями. Но не всегда. Тоже непонятно - отчего, зачем...

[235]

это такая супер оригинальная защита - "все равно мы где-то продолбали, давай превентивно будем еще и юзерский ввод ламать" )

[gatech]

- Здравствуйте, Вам звонят из школы вашего сына. У нас тут небольшие проблемы с сервером.
- Опаньки, мы что-то испортили?
- Ну, это как посмотреть... Вы действительно назвали вашего сына "Robert '); DROP TABLE Students;--"?
- Ах да, мы зовём его Маленький Бобби Табличкин.
- Ну так вот, мы потеряли все записи по студентам за этот год. Надеюсь, Вы довольны.
- А я надеюсь, что вы получили урок по очистке введённых данных.

[DemiurgeOrion]

> вконтакт заменяет в слове javascript некоторые буквы русские

думаю эта такая защита «от дурака», т.е. вроде бы и должно работать, но не работает, и уводит не «профессионального» злоумышленника в дебри.

[Mako]

Скорее всего прмитивный вид зашиты. Ведь не все пользователи контакта являются специалистами. Большая часть это всего лишь простые пользователи. А банальный копипаст знают все. Это хоть чуть-чуть снижает количество работы админам. Представте, если бы каждый пользователь контакта, найдя какой-нить скрипт, запустил его. Вот админы и страхуются как могут

[Hest]

скрипт для многострочных статусов скиньте то )

[steck]

Да легко.
javas cript:{
var aj = new Ajax();
aj.transport.open('POST', '/profile.php', false);
aj.transport.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
aj.transport.send("setactivity=test\ntest&activityhash="+ge('activityhash').value);
window.location.reload();
}

setactivity=test\ntest - вот этой строкой устанавливается статус. Жирным выделен текст статуса.
Вообще немного криво, но зато работает -)

[steck]

упс, пробел в javascript убрать только надо. Скопипастил из вконтактовской заметки просто.

[Hest]

спасибо!

[superhabra]

помниться на хабаре было что-то подобное...
*злобно хихикает