Да, поломали. Только вот какие-то детишки запустили скрипт и теперь полезные логи тонут в бесполезном и уже известном говне.
Впрочем, лучше так, чем никак.
Хотя бы знаю теперь в какую сторону копать.

Тогда уж лучше сразу через systemd

Я все пропустил? Скрин дефейса в студию!

Тут сайт ломают, а не сервер. Никакого «дефейса» тут не надо.

Я из-за этого даже институт закончить не смог

и кем сейчас работаешь? )

Программист.

А где и каков доход? Отсутствие корочки сильно мешает?

Отсутствие корочки сильно мешает?

Меня только 1 раз спросили про диплом. И то школьный прокатил — это я работал в большой компании и отделу кадров нужен был хоть какой-то документ.

ЛОР эффект чувствуется.

Навскидку ab не попячится, ОК.

А?!
Не знаю что ты имеешь в виду, но это сейчас не важно.
Демон падает при запросе страницы с огромным номером, а какой-то упырь этот запрос засунул в скрипт и гоняет по кругу.
Так что на сегодня всё.

Ой, всё совсем накрылось.

Я пускал тривиальное ab -k -n 100000 -c 500 http://fabella.info/ с нескольких хостов, вроде не падает, отвечает нормально, анеки выдает. Что-то больше смотреть лень.

А, так с нагрузкой проблем быть не должно — оно хоть и на атоме вместо процессора, но демон написан на плюсах, так что тормозить не должно.

Вроде пофиксил проблему с большими индексами.

почему тема сайта белая? Она должна быть черной чтобы глаза не уставали.

И с янтарными буквами.
Нет уж, спасибо:)

Эй, 184.75.212.242!
Расскажи хоть что делаешь — запросы какие-то странные.
Пытаешься протолкнуть какой-то мусор для БД?
Тут не используется БД.
Или это что-то интересней?

http://fabella.info/commit/commit/commit

Алсо, http://fabella.info/f13997374925845867957739579234769083489023759234790672346...

Ага, спасибо. Но, к счастью, корёжится лишь внешний вид. Функционал функционирует.
Но, думаю, и это можно победить...

Почему бы просто не отдавать 404 на несуществующих страницах? А то их ещё и проиндексируют, совсем плохо будет.

На главной:

	<a href="/p 1"> &nbsp<b> 1</b>&nbsp</a>
	<a href="/p0">&nbsp 0 &nbsp</a>

Из джаббира шлют привет

http://fabella.info/?page= 0<script>alert('trololo')</script> http://fabella.info/?page=-1e1000000 http://fabella.info/?page=-0.3

начала докажи, что он твой (хотя бы банер на него повесь с просьбой), потом найми спецов, да и не на халяву, а за бабки.

Пильщику бюджетов в соседнем треде тестируют, а тут с чего бы нет?

На галеры, солнце ещё высоко!

<a href=«/p 1»>

А при каких обстоятельствах такое получается?

Если пройти по ссылке в стартовом сообщении, например.

Спасибо. Кажется исправил — PHP довольно вольно обращается с типами и его надо иногда тыкать носом в верный тип.

Отправил на рассмотрение кавычку

а я смотрю у тебя прямо нездоровая любовь к кавычкам.

а какой самый умный умник догадался изменять рейтинг анекдота через запрос GET-типа? :-)

(ну и вообще кто это такой умный думает будто GET-запросы могут быть предназначены для изменения чего-то?)

Работает? Ну и ладно.

Работает? Ну и ладно.

а что именно должно работать?

работает ли следующий код

<img src="http://fabella.info/incRating.php?index=1400183720&rating=1" alt="" />

(опубликованный на другом популярном сайте..)

...не знаю не пробовал ещё :-)

Я тебя не понимаю.
Ты можешь чётко и ясно сказать что тебе не нравится?
Или что не работает?
Или что ты хочешь?
Что за img?
Что вообще происходит?

люди которые, голосуют за те или иные анекдоты — могут даже не догадываться что они голосуют за анекдоты :)

например я вставлю картинку (следующий HTML-код) на какой-нибудь другой сайт..

<img src="http://fabella.info/incRating.php?index=1400183720&rating=1" alt="" />

и все те люди кто заходят на «другой сайт» — будут учавсововать в голосовании :)

а всё потому что нужно использовать POST-запросы (а не GET-запросы) для действий который что-то изменяют.

и про CSRF-Token не забудь, когда будешь переделаывать GET-запросы на POST-просы.

ну и не забудь вставить в HTTP-заголовки — заголовок

X-Frame-Options: SAMEORIGIN

Ага. Понял. Так бы сразу и сказал — я сишник, а не веб-мастер.
Мне все эти намёки с важным видом ничем не помогут.

ну и конечно не забудь исправить

<button onclick="makeRequest(1400183291, -1');">⇓</button>

<button onclick="makeRequest(1400183291, -1);">⇓</button>

а то заметил ли ты уже что не минусует тебе ни кто? :-)

я сишник, а не веб-мастер.

ну тогда вот две полезные статьи

про CSRF вот: http://ru.wikipedia.org/wiki/Межсайтовая_подделка_запроса

(предотвращегие CSRF — использование CSRF-токенов для POST-запросов)

про Clickjacking вот: http://ru.wikipedia.org/wiki/Кликджекинг

(для предотвращения Clickjacking всего-лишь только нужно добавить HTTP-заголовок на все страницы
X-Frame-Options: SAMEORIGIN
)

--------------------

ну про XSS писать не буду — так как XSS уже на прошлых страницах этий темы демонстрировали :-)

POST-запросы

Done.

SAMEORIGIN

Done.

Спасибо за советы.

Done.

Done.

ну эт круто!

осталось только CSRF-токен проверять для всех POST-запросов :-) ...

а иначе эти POST-запросы особого отличаться от GET-запросов не будет :-)

CSRF-токен

Пока не разобрался как это сделать.
Какая же кака это ваш WEB — то не работает, то не очевидно, то очевидно, но не работает.
Я, например, так и не понял, как сделать отсылку команды для голосования не кнопкой, а ссылкой — говорят надо return false впихнуть, чтобы предотвратить переход по ссылке, но не работает.

Я, например, так и не понял, как сделать отсылку команды для голосования не кнопкой, а ссылкой

ды точно также как и кнопкой:

было так:

<button onclick="makeRequest(1400183720, -1);">⇓</button>

стало так:

<a href="#" data-id="1400183720" onclick="makeRequest(this.dataset.id, -1); return false">⇓</a>

почти одно и тоже, вобщем-то :)

Ну я так и пробовал. Нифига. Страница обновляется.

я сейчас этот свой код

<a href="#" data-id="1400183720" onclick="makeRequest(this.dataset.id, -1); return false">⇓</a>

проверил на твоём сайте.

работает нормально: Страница НЕ обновляется. :-)

Гм. Значит я делал как-то не так.
Но сейчас это не важно — мне уже и кнопки вполне нравятся.