Александр Аксентьев, вообще, я начинаю думать что блокировка пользователя по id - не такая уж хорошая идея. Интернет-злодей при желании может заблокировать какого-либо пользователя или многих пользователей, а в этом мало хорошего. Может, запоминать изначальный ip пользователя и в случае если он меняется спрашивать подтверждение юзера по mail или телефону?
Александр Аксентьев ну пароль же не окажется верным на 10-15 попытку, а после такого кол-ва попыток входа, можно временно или постоянно заблокировать пользователя. Как это сработало бы для взломщика, если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?
BasiC2k тогда, есть еще вопрос, если пользователь выполняет слишком много попыток входа с неверным паролем, можно ведь его временно заблокировать. Простому пользователю вряд ли удастся ввести неверный пароль больше 15, например, раз, а для хакера это ограничение, вроде как, помеха. Является ли такой вариант удачной защитой от брутфорса паролей на сайте?
Ну вот здесь я нашел пример. Но там речь идет о том чтобы зарегистрироваться на сайте под логином "admin' --". Логин в принципе не должен содержать кавычки. Если же речь идет о каком-нибудь input'e где больше свободы по символам, то там текст должен экранироваться и инъекции не должно произойти. То же самое вроде и с куки или урлом. Я ошибаюсь?
Антон Спирин, Могли бы вы объяснить, как текст из input'а превратился бы в запрос? Тем более, нужно же проверять вводимые данные на соответствие определенному формату. Такой логин даже не проверялся бы по базе, он бы отсеялся еще до того.
Заведи привычку проверять элементы программы, в корректной работе которых ты не уверен, отдельно от остального кода, и тогда для тебя все станет проще.
entermix, лендинги и визитки запросто могут быть статичными страничками как обычный документ, если не считать свойственную им простенькую форму. Так что слабо походят на приложение.
