|
Сообщение от Gunji
|
|
Выбрал кол-во товара, нажал кнопку заказать, в сплывающей форме увидел конечную цену, заполнил поле "имя", "телефон" - отправил...
|
Эта форма отправляет скрытыми полями не даже пусть наименование товара, а html-код со страницы где оно описано. Таким же образом форма отправляет не выбранное количество товара, а html-код поля выбора его количества.
Если предположить, что сервер даже понятия не имеет, что такое хранение данных и анализируется пришедшее, то зачем же html-код? А если он для того чтобы отправить его почтой как html, то это уже есть дыра. А если учесть то, что данный сервер позволяет отправку этой почты кому угодно, и судя по реакции не производит проверку пришедших данных, то тут достаточно только фантазии для того как эксплуатировать такой "подарок" в целях далеко не благовидных.
Если у вас есть магазин и его товары, это не просто на страницах описанные, то опишите в ТЗ входные данные по которым закажите такую форму, ее написать, а также анимацию, которая вам понравилась, можно (и нужно) без копирования чужих ошибок.
И это с учетом того, что у вас есть готовый серверный скрипт обработчик данных формы, а также формирования
им, а не клиентом, почтового отправления и его отправки. Иначе, если это для вас также неизвестность, то заказывайте и это.
