Вашему верху, барышня, по статусу не положено и претит интересоваться как там поживает самолюбие, настроение и т.п. его нижней?

Об этом, если Вы хотите, Вы можете поинтересоваться у него самого.
Разница только в том, что за все свои слова, сказанные на форуме, я отвечаю самостоятельно, а не прячусь за спину Верха, как кошка, поджавшая хвост.

каким образом за свои слова самостоятельно может ответить человек, учетка которого на сайте забанена? Научите.

Ах если бы это было впервые. А еще можно писать сообщения от своего имени с Вашего аккаунта.

конкретный пример, раз уж такое заявляете

Произвольная цитата

1) хватит сраться !!!

так мы же за любой кипишь кроме голодовки )))

Произвольная цитата

возмущению моему не было предела не в том что она нашла баг , а то КАК указала на это

Уважаемый Сильвестр. Моему возмущению в тот момент так же не было предела, так как на тот момент, если вы помните, состоялось массовое похищение эмейлов с вашей базы, и имел место отчаянный "мороз" с вашей стороны.
Если вам кажется, что получение неприятных угроз на почту - малая причина для переживаний, то еще несколько я озвучу таки лично, если вдруг заинтересуетесь.
Соглашусь, что с моей стороны была действительно допущена халатность - эмейл после регистрации сохранить. О чем жалею. Но самонадеянно утверждать, что "сами казлы" попросту было некрасиво.

Теперь по сути. Я в жизни не занималась целенаправленным взломом чего бы то ни было. Но статьи о безопасности той или иной реализации предпочитаю читать до того, как браться за нее. В частности, о том, что в директории должен лежать индексный файл я учила десятилетних детей на курсах )) А отсутствие таковых (по всему дереву сайта) обнаружила ну совершенно случайно.

Говорите, проблемы с безопасностью появились недавно... Нет, появился маньяк, и вы занялись таки устранением уязвимостей.

Говорите, сессии к айпи привязали.
Напрягаем орган здравомыслия. Для того, чтоб подменить идентификатор сессии, его нужно знать. Получить такой можно, например, поселив троян на компьютер пользователя.
для этого:
1) написать троян
2) подсунуть его нужному пользователю
Допустим, имея базу почтовых адресов, можно попытаться взять пользователя на дурака, прислав ему вкусненькую ссылку. Но для этого нужно еще и обойти антивирусники целевого пользователя, что многократно усложняет задачу 1. Поэтому:
3) пользователь должен быть халатным.
а халатного уж проще купить на фишинг.
Далее, есть неприменное условие.
4) Входить на сайт надо одновременно с целевым пользователем, пока он числится "онлайн".
А судя по рассылке, об этом писалось в других темах, жертвами стали пользователи, которые месяцами не входили на сайт.
Так что не туда вы тратили усилия.
Возможно, имело место указание id пользователя в куках (мне вот честное слово, было совершенно лень это проверять). Ну, тогда звыняйте, еще один взнос в копилку школьных дыр, наравне с индексными файлами. Надеюсь, вопреки ангельским глазам и рассказам о подмене сессии, вы действительно настоящую дыру устранили.

По поводу картинок. Вот не успела я это сообщение дописать. Заметила ваш белый платок, когда хотела скопировать фрагмент адреса фотографии, в котором могла закрасться ошибка. Промежуточный каталог из 5 или 6 цифр. Он?

Еще Вам повторю ))) Не о безопасности сайта речь то шла. Речь только о том, что нельзя было это отрицать ранее.
Ответил, так как показалось, что ко мне относится пост.

Хорошо. Скольких примеров постоянного вступания за свою нижнюю Вам будет достаточно? С учетом того, что г-жа Slezka удалена с сайта достаточно давно. И чтобы более не засорять тему - отправлю примеры в личку. Deal?

Произвольная цитата

имея свежую ИД сессии

Это безусловно. Но в темах речь шла о пользоваьелях, которые давно не входили. Что дыра была - это несомненно, и не одна )) Но, видимо, и не последняя.

И да. Почты-то как угнали?