strona w symfony frameworku, prosze o wskazanie luk bezpieczenstwa Opcje

[kubek2]

Będąc użytkownikiem tego forum chciałbym incognito zaprezentować stronę. Uczę się Symfony frameworka - chciałbym prosić o ocenę strony zrobionej w tym frameworku - stronę tę zrobiłem tylko po to by nauczyć się podstaw Symfony i niczemu więcej ona nie służy .
http://www.misiekmisiek.info/

Przykładowy użytkownik:
login: misiek
hasło: haslo1

Wszyscy inni użytkownicy mają login taki jak ich wyświetlana nazwa użytkownika oraz hasło: 'haslo1'. WYŁĄCZYŁEM możliwość zmiany hasła z wiadomych powodów.

Zależy mi zwłaszcza na ocenie BEZPIECZEŃSTWA, więc opisze w skrócie o czym pomyślałem:
* Niebezpieczne akcje typu dodanie użytkownika do znajomych lub usunięcie nie powiodą się jesli ręcznie wpisze się dany adres w pasku url przegladarki lub jakimś sposobem zaszyje się kod dodający/usuwający użytkownika ze znajomych na stronie, na którą potem wejdzie druga osoba,
* Jeśli ktoś chce spróbować zmodyfikować wartość ukrytego pola to np. na stronie 'wyslij_wiadomosc' jest ukryte pole o nazwie 'adresat' zawierajace id, ale to się nie uda,
* Jesli ktoś chce wpisać np. kod javascript z 'alert' itp. to może to zrobić na stronie 'opis', ale to nic nie da, bo nie zostanie to wyświetlone,
* Na stronie z rejestracją jest walidacja javascript, wyłączenie javascript nic nie da,
* itd.

Byłbym wdzieczny za wskazanie niebezpieczeństw, o których jeszcze nie pomyślałem.

[phpion]

F5 po wysłaniu formularza kontaktowego i masz zaspamowaną skrzynkę pocztową (bo po komunikacie domyślam się, że mail za każdym razem leci).

[kubek2]

dzięki phpion, jak zawsze można na Ciebie liczyć - już to poprawiłem.

Tak w ogóle to niezwykle fajny ten Symfony Framework.

[Poker]

W karierze powinna być chyba Moja historia kariery? Wstawiam nowy wpis i pojawia się on u każdego użytkownika w edycji ... Lecz nie wyświetla się on na profilu

[kubek2]

Dzięki - w zapytaniu nie dodałem WHERE i wyświetlało historię kariery wszystkich ;]