Deje de leer a partir de esta frase:

Saludos

En php el primer carácter en el index es 0. ($c1=0).

Saludos

Estaba intentando convertir un codigo de C# a PHP pero se dio cuenta de que los nombres de las funciones y las variables cambian xD.

@TrashAmbishion que tiene que devolver en ambos casos ? Ami me devuele un string vacio a la hora de cifrarlo y a la hora de descifrarlo no devuelve el string ¬¬


Saludos

Lo que ves en habbo probablemente es un balanceador de carga. Básicamente redirige el trafico entre varios servidores para que ninguno se cargue demasiado.

Lo de cloudflare es diferente. CloudFlare es un "proxy". El visitante en realidad visita un servidor de cloudflare, el servidor se encarga de hacer la petición hacia tu pagina web y mostrarle el resultado al visitante. El visitante por tanto no llega a saber exactamente desde donde proviene la info. En el caso de cloudflare, ellos habilitan un subdominio (direct.web.com) que pasa directamente hacia el servidor original (aunque lo puedes desactivar)...

Saludos

La session al fin y al cabo no es mas que una cookie.. (y no voy a explicar porque xD). Si yo hago un script, que se connecte a la primera pagina, guarde la cookie PHPSID y vaya a la segunda pagina mostrando la cookie, el token sera totalmente valido.

Saludos

@Stakewinner00, si le enseñas a un administrador a saber que botones hay que pulsar para tirar su servidor no le ayudas a protegerse contra eso. En todo caso, le tienes que ayudar, mostrandole como funciona el programa, como crea las peticiones.. como funciona internamente.

Lo que @Seazoux quiere enseñar es que botones/opciones hay que pulsar para realizar el ataque.. no pretende mostrarte como crea las peticiones el programa..

Saludos

Para empezar, los tokens sirven para prevenir CSRF.
http://en.wikipedia.org/wiki/Cross-site_request_forgery

Ahora, esto no previene que el atacante haga un script donde el se conecta a tu pagina, captura el token y te lo envía en su próxima petición. Por tanto, le da cierta seguridad al usuario, pero no hace dificil/imposible que se puedan realizar peticiones web.

El token no suele ser mas que un md5/sha1/string aleatorio. La pagina que vaya a solicitar la acción se lo manda a la que realiza la acción. Esta comprueba si es valido y en tal caso, realiza la acción.

Saludos

Una cosa es mostrar como funciona la herramienta internamente (como hace para tirar el servidor).. y otra cosa es enseñar que botones hay que pulsar para tirar el servidor...

Saludos

Segun he leido Mid es substr() en php.
Asc es ord()..

No hace falta que declares las variables antes de usarlas.

Saludos

Ya veo  

Mira, ahora mismo es una tontería intentar "hackear" tu web. Mas que nada porque es un estupido echo.. Tu sigue implementando de este modo (sin preocuparte de nada) y cuando la lanzes.. veremos si tus clientes (que tendrán que pagar) quedan satisfechos con su inversión...

No te lo digo a malas... pero hay que preocuparse.. Blogger tiene implementado su propio tipo de plantilla, cada blog esta en un dominio(subdominio) diferente y se preocupa de meter sus cookies/sessiones bien (solo para X dominio).

Encima, vas y desactivas la protección contra XSS..

Considera que en vez de meter el código duro y puro... podrías crear un sistema de plantillas... que el usuario se tenga que adaptar a tu sintaxis y que no tenga la libertad de meter lo que le de la gana.

PD: La regla numero 1 en cuanto a seguridad en entorno web.. Nunca te fíes de lo que te manda el usuario... nunca.
Saludos