Показать сообщение отдельно
  #6 (permalink)  
Старый 24.01.2017, 12:42
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Сообщение от Gunji
Выбрал кол-во товара, нажал кнопку заказать, в сплывающей форме увидел конечную цену, заполнил поле "имя", "телефон" - отправил...
Эта форма отправляет скрытыми полями не даже пусть наименование товара, а html-код со страницы где оно описано. Таким же образом форма отправляет не выбранное количество товара, а html-код поля выбора его количества.

Если предположить, что сервер даже понятия не имеет, что такое хранение данных и анализируется пришедшее, то зачем же html-код? А если он для того чтобы отправить его почтой как html, то это уже есть дыра. А если учесть то, что данный сервер позволяет отправку этой почты кому угодно, и судя по реакции не производит проверку пришедших данных, то тут достаточно только фантазии для того как эксплуатировать такой "подарок" в целях далеко не благовидных.

Если у вас есть магазин и его товары, это не просто на страницах описанные, то опишите в ТЗ входные данные по которым закажите такую форму, ее написать, а также анимацию, которая вам понравилась, можно (и нужно) без копирования чужих ошибок.

И это с учетом того, что у вас есть готовый серверный скрипт обработчик данных формы, а также формирования им, а не клиентом, почтового отправления и его отправки. Иначе, если это для вас также неизвестность, то заказывайте и это.
Ответить с цитированием