Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: katalog stron
Forum PHP.pl > Inne > Oceny
izabela
Witam Was,
Proszę o opinię katalogu, którego jestem współtwórczynią katalog stron
Co byście pozmieniali / dodali

dziękuję za wszystkie opinie
izabela
kur3k
Wszystko fajnie, tylko top nav'a bym poprawił winksmiley.jpg
izabela
właśnie jestem w trakcie zmiany górnego bannera bo jest za duży gdy jeszcze wyświetlana jest reklama.
czcionkę w top navi zmniejszę i zrobię jeden rząd zamiast dwóch

jakieś jeszcze sugestie?
krzysztof_kf
Witam design przejrzysty nie ma za bardzo co oceniać dodał bym hover do katalogów stron 'Do linków' bo niektórzy mogą mieć problemy z wybraniem właściwej kategorii smile.gif
thomson89
Zmieniłbym kolor linków.

Nagłówek do poprawy.

Tam gdzie jest reklama, napisz na tym szarym tle: reklama.

PS: Zrób stopkę...
izabela
przy reklamach dodałam REKLAMA.

co do stopki to chodzi o dodanie:
kontakt, reklama, sitemap?

dobrze rozumiem? dziękuję i pozdrawiam,
erix
Wszystkie tematy w tym dziale dotyczą ocen.

PW z linkiem i nowym tytułem do któregoś z moderatorów, zostanie otwarte.
nospor
1) podatne na atak SQLInjection
2) podatne na atak XSS
3) można dodać podkategorię do nie istniejącej kategorii - ciekawe smile.gif

4) Błędy wyswietlające się na stronie pozwalające poznać strukturę aplikacji
gigzorr
Z ta podatnością na sql injection , to ja sie nawet zgodze chociaż sie na tym nie znam , a zajeło mi to 10sec .Więc zastanów się jakie szkody może wyrządzić zwykły użytkownik.
nospor
Cytat
Więc zastanów się jakie szkody może wyrządzić zwykły użytkownik.
chyba niezwykły. zwykly to jestes ty czy ja, a niezwykly to hakier winksmiley.jpg

"ciekawy" tez jest sposob w pagerze - w linkach do kolejnych stron pagera przenosisz info o ilości stron i całkowicie na tym polegasz przy generowaniu stron w pagerze. dziwna metoda smile.gif

5) mozliwosc listowania katalogów ze skryptami php, ktore na dobrą sprawe nie powinny byc publiczne
6) mozliwosc odpalania tychze skryptów bezposrednio z przegladarki. Wszakze nic nie udalo sie z tym zrobic, nie licząc paru fatal errorow, nie mniej jednak kto wie jak prawdziwy haker moze to wykorzystac.
Daiquiri
Z tą numeracją tron to faktycznie jest śmiesznie. Można przejść na 6,7 czy 8.25 stronę...
izabela
OK dzięki chłopaki za audyt bezp smile.gif
widzę, że zostało zmienione kodowanie strony,

dzisiaj pobawię się w zabezpieczenia,

możecie mi przywrócić kodowanie?
nie mam dostępu do serwera aktualnie;/

dzięki
Iza
nospor
Cytat
możecie mi przywrócić kodowanie?
Smiem twierdzić że nikt z tutaj piszących raczej nie zmieniał ci kodowania.
izabela
kurcze bo nie mam polskich znaków przy danych z bazy...
nospor
to widzę. Rano jednak, gdy "hakerzono", polskie znaki były. Może na serwerze coś ci się przestawiło? Tylko ty masz dostęp do kodu strony? Może ktoś ze współpracowników się bawił i coś namieszał?
izabela
tylko ja, i nic nie zmieniałam,
gigzorr
A nie logowałaś się na ftp dzisiaj , i nie zapisałaś przypadkiem zmian w jakimś pliku?Jeśli tak to kodowanie się zmieniło na windows-1250 , i nie będziesz miała polskich znaków.
Musisz zgrać sobie na pulpit gdzies otworzyć np.netbeans i zapisać , potem jeszcze raz , i będzie działało i wgrać na ftp.
nospor
Cytat
A nie logowałaś się na ftp dzisiaj , i nie zapisałaś przypadkiem zmian w jakimś pliku?Jeśli tak to kodowanie się zmieniło na windows-1250 , i nie będziesz miała polskich znaków.
kodowanie tekstu w pliku nie ma nic do kodowaniu tekstu w bazie.
izabela
rozumiem, że poprzez atak SQLInjection można zmienić kodowanie na bazie?
na bazie mam aktualnie utf-general-ci
nospor
Cytat
rozumiem, że poprzez atak SQLInjection można zmienić kodowanie na bazie?
raczej nie. Obsluga mysql w php nie pozwala na to.

Cytat
na bazie mam aktualnie utf-general-ci
No to to jest przyczyna problemu. Strone miałaś w iso a ty masz utf. No chyba ze wczesniej mialas iso a teraz nagle masz utf.... nie, jak mowilem sqlinjection w tym przypadku by sie nie sprawdził (tak mi się wydaje)
izabela
aktualnie jest już ok,
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.

nospor
Cytat
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.
hehe, to pewnie i oni napsuli smile.gif
izabela
do pliku index.php dopisali:
Kod
mysql_query("SET NAMES 'latin1'")
nospor
tez w pierwszej kolejnosci o tym pomyslalem, ale nie proponowalem tego, gdyż skoro rano działało a teraz nagle nie... winksmiley.jpg
To nadal baze masz w kodowaniu utf8? i tabele tez? a dane w nich zapisujesz w iso?
izabela
tak, nadal, a dokładnie to
dla tabeli mam utf-8
a dla całej bazy: latin2_general_ci
nospor
No to jesli w tabeli trzymasz dane w iso (latin2) to dobrze by było by i tabela była w latin2 a nie w utf8.
Jesli masz mozliwosc to przekonwertuj to.
izabela
zmienione,

teraz walczę z SQL Injection.
dodałam do akcji POST.


Kod
$site_description = mysql_escape_string($_POST['site_description']);


dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/
nospor
Cytat
dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/
A skad wiesz ze to moj skrypt? winksmiley.jpg
akurat to okienko z 2 to nie jest atak sqlinjection tylko XSS. Zapewne dlatego twoje zabezpieczenie na niego nie dziala winksmiley.jpg
izabela
Cytat(nospor @ 14.04.2010, 10:10:23 ) *
1) podatne na atak SQLInjection
2) podatne na atak XSS


1) możesz podać przykład?

2) rozumiem, że m.in komunikat o treści 2
nospor
ad1) http://www.kataloq.pl/category-or%201=1.html
ad2) tak, między innymi.
izabela
Cytat(nospor @ 15.04.2010, 13:52:34 ) *

Przeanalizujmy:

1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?
2. błędem jest dodatkowo to, że widać strukturę plików ;/
3. innych zmian nie widzę.
nospor
ad1) no tak jak widzisz. podalem taki url i twoje zapytanie to przyjelo i sie wysypalo - nie powinno. Jest to potencjalnie niebezpieczne
ad2) tak
ad3) zgadza się. Nie jestem hakerem. Moim celem nie jest popsucie ci czegos w bazie a jedynie zwrócenie uwagi na błąd smile.gif
Zapewne nawet nie byłbym w stanie ci nic napsuc poprzez akurat tę lukę w tym miejscu. Nie mniej jednak luka jest i dobrze by było na przyszłość byś niedopuszczała do ich powstawania.
Daiquiri
Cytat(izabela @ 15.04.2010, 14:05:36 ) *
1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?
Nie możesz liczyć na to, że Twoja strona będzie oglądana tylko w takiej postaci w jakiej zostanie "wygenerowana". Zawsze znajdzie się ktoś, kto spróbuje sprawdzić "a co się stanie jeżeli..." i z palca wpisze jakieś pierdoły do np. paska adresu i zobaczy, że strony mogą być numerowane nie tylko za pomocą liczba całkowitych ;-). Niestety zazwyczaj nie kończy się to na "zabawie" z numeracją.


Co do wyglądu: może zerknij na to, jak wygląda Twój baner w kontekście np. reklamy N-ki - trochę dziwnie nieprawdaż?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.