El problema sería entonces que para loguearme debo usar mis credenciales, y luego si cambio algo de la página quedaría como si hiciese los cambios en mi cuenta, y la idea sería hacer cambios en las cuentas de las demás personas. Ejemplo, cambiar el perfil.
Quizás haciendo una pasada por un código javascript y una petición asíncrona enviando datos POST, ¿crees que funcionaría? Intentaré ensayarlo cuando tenga algo de tiempo.
Un saludo.

http://www.yellowpipe.com/yis/tools/lynx/lynx_viewer.php

Aqui puedes ver como Google indexa tu website al recorrer la web. "Solamente archivos de flash" igual a "no contenido de texto que indexar."

Hola, tengo una dudilla, es la siguiente:
Estoy en una página que requiere autentificación, por medio de sesiones, llamemosla www.victima.com. Entonces, la idea que quiero es que dentro de mi perfil se realize una llamada a la pagina atacante.com/borrar.php. La página borrar.php se conecta mediante CURL a la página que edita el perfil del usuario enviandole una serie de datos POST, así:

$postdata = array(
'nombre' => 'Cambiado'
);
$ch = curl_init();
 
curl_setopt($ch, CURLOPT_URL, "http://www.victima.com/gestionar-perfil.php");
curl_setopt($ch, CURLOPT_POSTFIELDS, $postdata);
$document = curl_exec($ch);
 

He hecho un "escaneo" con la extensión Tamper Data y he visto que la variable POST nombre envia el contenido de el nombre que aparece en el perfil. Entonces, la idea es que normalmente, al llamar al anterior script, debería modificarse el nombre a "cambiado". El proceso según lo entiendo, es como sale en la imagen:



Ahora bien, si tecleo en mi explorador atacante.com/borrar.php, en lugar de la página normal, sale la página de autentificación del website.



Supongo que al estar por fuera de victima.com entonces no estoy autenticado. La cosa es, dentro del perfil de victima.com, ¿como puedo incluir atacante.com/borrar.php y mantener la autentificacion que ya tengo en victima.com?

He tratado cosas como (dentro de victima.com/perfil.php):

<img src="atacante.com/borrar.php" />
<iframe src="atacante.com/borrar.php">

Pero ninguna de las dos me ha servido, incluso dentro del IFRAME sale de nuevo la pantalla de autentificación como si no estuviera logeado.

Quizás con algo de javascript podría hacerlo, pero no se demasiado de JS y manejo de archivos. O tal vez usando alguna petición Ajax para atacante.com/robar.php

¿Teneis alguna idea? Muchas gracias de antemano!!

$result = @mysql_query($sql);

No recomendado. Personalmente le tengo un poco de mala maña al "@" porque muchas veces no te muestra errores graves que pueden hacer que el script deje de funcionar. Yo personalmente preferiría:

$result = mysql_query($sql);
if(isset($result)){
  //Codigo para situacion de exito.
}else{
print "No se puede conectar a la base de datos:<br/>".mysql_error();
}

mysql_error() te explica el error que pueda presentarse, y es bastante explícito o sea que te puede ayudar más que simplemente ignorar el error olímpicamente.

Tendrías que fijarte que en las funciones donde te conectes a la Base de datos esté correctamente el nombre y clave del usuario que te den en Lycos, además de el nombre de la base de datos. Por ejemplo, yo en mi PC me conecto así (supongo que tu igual):

mysql_pconnect("localhost","root")

Pero en Lycos puede que sea distinto, algo del estilo...

mysql_pconnect("mysql.usuario.lycos.es","usuario","clave454578").

Y no te olvides de usar pconnect para ahorrar tráfico

Hola, estaba leyendo sobre los ataques CSRF y como hacerlos, y me puse a pensar en de qué manera por ejemplo desde un Iframe llamar a una página distinta pero pasandole argumentos POST. Si fuera con GET,por ejemplo dominio.com/?accion=borrar entonces sería muy sencillo, pero no se como se puede hacer con POST.

¿Alguien sabe la solución? Muchas gracias.

Gracias por moverlo, la verdad no sabía si estaba relacionado más con PHP o con HTML, pero bueno.

La cosa entonces es: Digamos que tengo dos inputs.

<input type="submit" name="guardar">
<input type="submit" name="borrar">

Eso quiere decir, que si clicko "guardar", se me creará una variable $_POST['guardar'], y en cambio si clicko "borrar", se me creará una variable $_POST['borrar'].  Con cada botón clickado, se genera una variable POST con el name del boton, y de los demás botones no se crea variable, ¿Es así?

Necesito ayuda con una cosilla, estoy creando un CMS, y cuando llego a las caracteristicas de escribir entradas, quiero algo similar al Wordpress que permite varias opciones como "guardar y seguir editando", "guardar", "publicar", pero la cosa es que no se como hacer para que el archivo PHP al que apunta el formulario (action="archivo.php") detecte el boton que se ha clickado, a menos que sea con javascript, y quiero hacerlo de ser posible independiente de javascript, solamente con HTML, por lo menos he intentado deshabilitando javascript y en Wordpres funciona igual.
Si alguien tiene alguna idea, enviando quizás algun input type="hidden" o algo similar, echadme una mano.
Gracias.

Con CSS y HTML para hacerla, vas suficiente de conocimiento. Ahora, si quieres meterle cosas como formularios en tiempo real, algo de ajax, pues si tienes que saber javascript, e incluso con poco JS puedes hacer cosas interesantes. Eso si, yo no soy diseñador así que de teoria de colores, de localización de contenido y tales no se demasiado, pero supongo que será igualmente sencillo. Solamente procura no mezclar colores con demasiado contraste (o algo así), ni colores chillones...#ff00ff no por favor!!
XD

Supongo que no, realmente las imágenes no creo que cambien mucho de Kilobytes por añadirles texto.
Además tienes la ventaja de que puedes ponerle cualquier fuente, no como en texto normal, que estás atado a las tipografías que use el que vea tu web.
Un saludo!