Всем привет. Тут недавно поставил в локалку чат - Chant, но есть сомнения по безопасностьи. Искал в багтреках но нечего не нашел. Решил потестить сам. Нашел дырку в rss блоге. вот код: PHP: $users = file("./data/users.inc.php"); foreach($users as $val){ list($user, $pass) = explode("|", $val, 2); if($_GET['privateid'] === $user) { Там при получении сообшений провирается зарегин узер или нет, но пароль нетребуеться. Для того чтобы читать чужие приваты надо всего лиш знать ник узера. Пример rss?privateid=[ник]. У себя я ету дырку закрыл но может есть еще? Спрашивал на webscript-е но безрезултатно может сдесь кто знает. Вот ссылка chant.prophp.org
Вот ссылка 194.219.67.5/chat. если работать не будед - http://chant.prophp.org/Demo.html Всех с 2007-м.
