Witam Was,
Proszę o opinię katalogu, którego jestem współtwórczynią katalog stron
Co byście pozmieniali / dodali
dziękuję za wszystkie opinie
izabela
Pełna wersja: katalog stron
Wszystko fajnie, tylko top nav'a bym poprawił 
właśnie jestem w trakcie zmiany górnego bannera bo jest za duży gdy jeszcze wyświetlana jest reklama.
czcionkę w top navi zmniejszę i zrobię jeden rząd zamiast dwóch
jakieś jeszcze sugestie?
czcionkę w top navi zmniejszę i zrobię jeden rząd zamiast dwóch
jakieś jeszcze sugestie?
Witam design przejrzysty nie ma za bardzo co oceniać dodał bym hover do katalogów stron 'Do linków' bo niektórzy mogą mieć problemy z wybraniem właściwej kategorii 
Zmieniłbym kolor linków.
Nagłówek do poprawy.
Tam gdzie jest reklama, napisz na tym szarym tle: reklama.
PS: Zrób stopkę...
Nagłówek do poprawy.
Tam gdzie jest reklama, napisz na tym szarym tle: reklama.
PS: Zrób stopkę...
przy reklamach dodałam REKLAMA.
co do stopki to chodzi o dodanie:
kontakt, reklama, sitemap?
dobrze rozumiem? dziękuję i pozdrawiam,
co do stopki to chodzi o dodanie:
kontakt, reklama, sitemap?
dobrze rozumiem? dziękuję i pozdrawiam,
Wszystkie tematy w tym dziale dotyczą ocen.
PW z linkiem i nowym tytułem do któregoś z moderatorów, zostanie otwarte.
PW z linkiem i nowym tytułem do któregoś z moderatorów, zostanie otwarte.
1) podatne na atak SQLInjection
2) podatne na atak XSS
3) można dodać podkategorię do nie istniejącej kategorii - ciekawe
4) Błędy wyswietlające się na stronie pozwalające poznać strukturę aplikacji
2) podatne na atak XSS
3) można dodać podkategorię do nie istniejącej kategorii - ciekawe
4) Błędy wyswietlające się na stronie pozwalające poznać strukturę aplikacji
Z ta podatnością na sql injection , to ja sie nawet zgodze chociaż sie na tym nie znam , a zajeło mi to 10sec .Więc zastanów się jakie szkody może wyrządzić zwykły użytkownik.
Cytat
Więc zastanów się jakie szkody może wyrządzić zwykły użytkownik.
chyba niezwykły. zwykly to jestes ty czy ja, a niezwykly to hakier "ciekawy" tez jest sposob w pagerze - w linkach do kolejnych stron pagera przenosisz info o ilości stron i całkowicie na tym polegasz przy generowaniu stron w pagerze. dziwna metoda
5) mozliwosc listowania katalogów ze skryptami php, ktore na dobrą sprawe nie powinny byc publiczne
6) mozliwosc odpalania tychze skryptów bezposrednio z przegladarki. Wszakze nic nie udalo sie z tym zrobic, nie licząc paru fatal errorow, nie mniej jednak kto wie jak prawdziwy haker moze to wykorzystac.
Z tą numeracją tron to faktycznie jest śmiesznie. Można przejść na 6,7 czy 8.25 stronę...
OK dzięki chłopaki za audyt bezp
widzę, że zostało zmienione kodowanie strony,
dzisiaj pobawię się w zabezpieczenia,
możecie mi przywrócić kodowanie?
nie mam dostępu do serwera aktualnie;/
dzięki
Iza
widzę, że zostało zmienione kodowanie strony,
dzisiaj pobawię się w zabezpieczenia,
możecie mi przywrócić kodowanie?
nie mam dostępu do serwera aktualnie;/
dzięki
Iza
Cytat
możecie mi przywrócić kodowanie?
Smiem twierdzić że nikt z tutaj piszących raczej nie zmieniał ci kodowania.
kurcze bo nie mam polskich znaków przy danych z bazy...
to widzę. Rano jednak, gdy "hakerzono", polskie znaki były. Może na serwerze coś ci się przestawiło? Tylko ty masz dostęp do kodu strony? Może ktoś ze współpracowników się bawił i coś namieszał?
tylko ja, i nic nie zmieniałam,
A nie logowałaś się na ftp dzisiaj , i nie zapisałaś przypadkiem zmian w jakimś pliku?Jeśli tak to kodowanie się zmieniło na windows-1250 , i nie będziesz miała polskich znaków.
Musisz zgrać sobie na pulpit gdzies otworzyć np.netbeans i zapisać , potem jeszcze raz , i będzie działało i wgrać na ftp.
Musisz zgrać sobie na pulpit gdzies otworzyć np.netbeans i zapisać , potem jeszcze raz , i będzie działało i wgrać na ftp.
Cytat
A nie logowałaś się na ftp dzisiaj , i nie zapisałaś przypadkiem zmian w jakimś pliku?Jeśli tak to kodowanie się zmieniło na windows-1250 , i nie będziesz miała polskich znaków.
kodowanie tekstu w pliku nie ma nic do kodowaniu tekstu w bazie.
rozumiem, że poprzez atak SQLInjection można zmienić kodowanie na bazie?
na bazie mam aktualnie utf-general-ci
na bazie mam aktualnie utf-general-ci
Cytat
rozumiem, że poprzez atak SQLInjection można zmienić kodowanie na bazie?
raczej nie. Obsluga mysql w php nie pozwala na to.Cytat
na bazie mam aktualnie utf-general-ci
No to to jest przyczyna problemu. Strone miałaś w iso a ty masz utf. No chyba ze wczesniej mialas iso a teraz nagle masz utf.... nie, jak mowilem sqlinjection w tym przypadku by sie nie sprawdził (tak mi się wydaje)
aktualnie jest już ok,
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.
Cytat
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.
hehe, to pewnie i oni napsuli Jak napiszą co zmienili to się pochwalę.
do pliku index.php dopisali:
Kod
mysql_query("SET NAMES 'latin1'")
tez w pierwszej kolejnosci o tym pomyslalem, ale nie proponowalem tego, gdyż skoro rano działało a teraz nagle nie...
To nadal baze masz w kodowaniu utf8? i tabele tez? a dane w nich zapisujesz w iso?
To nadal baze masz w kodowaniu utf8? i tabele tez? a dane w nich zapisujesz w iso?
tak, nadal, a dokładnie to
dla tabeli mam utf-8
a dla całej bazy: latin2_general_ci
dla tabeli mam utf-8
a dla całej bazy: latin2_general_ci
No to jesli w tabeli trzymasz dane w iso (latin2) to dobrze by było by i tabela była w latin2 a nie w utf8.
Jesli masz mozliwosc to przekonwertuj to.
Jesli masz mozliwosc to przekonwertuj to.
zmienione,
teraz walczę z SQL Injection.
dodałam do akcji POST.
dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/
teraz walczę z SQL Injection.
dodałam do akcji POST.
Kod
$site_description = mysql_escape_string($_POST['site_description']);
dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/
Cytat
dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/
A skad wiesz ze to moj skrypt? akurat to okienko z 2 to nie jest atak sqlinjection tylko XSS. Zapewne dlatego twoje zabezpieczenie na niego nie dziala
Cytat(nospor @ 14.04.2010, 10:10:23 ) 
1) podatne na atak SQLInjection
2) podatne na atak XSS
2) podatne na atak XSS
1) możesz podać przykład?
2) rozumiem, że m.in komunikat o treści 2
ad1) http://www.kataloq.pl/category-or%201=1.html
ad2) tak, między innymi.
ad2) tak, między innymi.
Cytat(nospor @ 15.04.2010, 13:52:34 )
Przeanalizujmy:
1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?
2. błędem jest dodatkowo to, że widać strukturę plików ;/
3. innych zmian nie widzę.
ad1) no tak jak widzisz. podalem taki url i twoje zapytanie to przyjelo i sie wysypalo - nie powinno. Jest to potencjalnie niebezpieczne
ad2) tak
ad3) zgadza się. Nie jestem hakerem. Moim celem nie jest popsucie ci czegos w bazie a jedynie zwrócenie uwagi na błąd
Zapewne nawet nie byłbym w stanie ci nic napsuc poprzez akurat tę lukę w tym miejscu. Nie mniej jednak luka jest i dobrze by było na przyszłość byś niedopuszczała do ich powstawania.
ad2) tak
ad3) zgadza się. Nie jestem hakerem. Moim celem nie jest popsucie ci czegos w bazie a jedynie zwrócenie uwagi na błąd
Zapewne nawet nie byłbym w stanie ci nic napsuc poprzez akurat tę lukę w tym miejscu. Nie mniej jednak luka jest i dobrze by było na przyszłość byś niedopuszczała do ich powstawania.
Cytat(izabela @ 15.04.2010, 14:05:36 )
1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?
Nie możesz liczyć na to, że Twoja strona będzie oglądana tylko w takiej postaci w jakiej zostanie "wygenerowana". Zawsze znajdzie się ktoś, kto spróbuje sprawdzić "a co się stanie jeżeli..." i z palca wpisze jakieś pierdoły do np. paska adresu i zobaczy, że strony mogą być numerowane nie tylko za pomocą liczba całkowitych ;-). Niestety zazwyczaj nie kończy się to na "zabawie" z numeracją. Co do wyglądu: może zerknij na to, jak wygląda Twój baner w kontekście np. reklamy N-ki - trochę dziwnie nieprawdaż?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.