^ Zato što ne smije neko da ubaci t u showthread.php?t=10859 preko recimo, cookiea. Ako nemaš tokene u formi, site je ranjiv na CSRF (GET sa drugog sitea preko recimo IMG taga). Takodje, moguće je poslati POST na URL user.php?action=register, i onda će $_GET['action'] biti register, i npr $_POST['username'] i $_POST['password'] će imati neku vrijednost. Ako koristiš $_REQUEST, onda možeš samo postaviti na neki site <img src="http://example.com/user.php?action=register&ref=jablan&username=a&pas sword=b" /> i to će da prodje pod uslovom da nema captcha ili token. Banalan primjer, ali moze se ekploatisati na mnogo načina.
|