Пароль. Опять же GET легче поддается имитации - для его подделки необязательно копировать и

Модифицировать код формы, достаточно набрать в адресной строке браузера подходящий URL.

В-пятых, ошибочно хранить критичную информацию в открытых для доступа файлах. Можно, конечно,

Утешать себя мыслью, что адреса файлов еще надо определить, но в любом случае это решение нельзя признать

удачным: всегда есть шанс, что из-за плохой конфигурации сервера станет возможным просмотр списка файлов

В каталоге и паша информация будет выставлена на всеобщее обозрение; нельзя исключать возможность

Распространения нашего скрипта - он завоюет популярность, его исходные тексты станут доступными по всей

Сети, и месторасположение секретных файлов опять-таки перестанет быть тайной. Поэтому файлы с критичной

Информацией желательно располагать в местах, по возможности вынесенных за пределы дерева каталогов Web-

Сервера или хотя бы защищенных от чтения (например, при использовании Apache этого можно добиться,

Разместивв защищаемом каталоге файл.htaccess со строкой deny all внутри).

Источник многих проблем для сайтов с установленными гостевыми книгами (или аналогичными скринтами) -

Ь1ш1-тэги. Разрешив пользователю ввод тэгов, вы тем самым провоцируете атаку и на других пользователей, и

На сервер. Последнее возможно в случае, если сервер сконфигурирован таким образом, что файлы, создаваемые