[PHP] pobierz, plaintext 
Chłopak stara się robić coś dla swoich rówieśników bo ich WYPRZEDZA ! - Bezpieczeństwo dla 13 latka a osoby dorosłej to 2 różne rzeczy.
[PHP] pobierz, plaintext 

Pewnie, niech się bawią zapałkami, przecież to tylko kawałek drewna.


Za moich czasów nie było TS'a, a cała szkoła zbierała karteczki z notesów... I to nie jest odwaga a ogólny trend, teraz każdy ma laptopa z mikrofonem i kamerą, więc każdy kręci byle co i byle jak, tylko po to żeby nie odbiegać od reszty rówieśników.

Nie ma tu co szukać, tyle razy już mówiłem...

Postaraj się ich zrozumieć. W większości to dorośli ludzi, którzy w tym temacie siedzą od lat i ciągle się muszą uczyć, bo wiedzą, że jeszcze trochę wiedzy przed nimi. I to nie była kwestia zdolności(, że tyle czasu to zajmuje ), bo w większości są to ludzie inteligentni, tylko musieli poświęcić swój czas, żeby się tego nauczyć, a to trwa bardzo długo. Teraz przychodzisz Ty. Strzelam, że zajmujesz się tym tematem od roku/dwóch. Przez ten czas po prostu nie da się wszystkiego ogarnąć. Ludzi tu dają Ci rady, a Ty się z nimi kłócisz, więc nie dziw się, że ludzie uważają, że nie umiesz przyjąć krytyki. Nawet jeśli to nie prawda, to Twoje posty świadczą o czymś innym, a nie można Ciebie ocenić inaczej, niż przez ich pryzmat.

Oddałeś skrypt pod ocenę, który zawierał luki w bezpieczeństwie. W linku masz link do strony o bezpieczeństwie komputerowym. Jedno i drugie da szybko wniosek, że się to wyklucza. I tak będzie, gdyż masz za małe doświadczenie. I to trzeba powrócić do pierwszych zdań mojego posta, czyli o tym, że trzeba nad tym posiedzieć kilka dobrych lat, żeby uznać, że się to potrafi. Tak więc nie zniechęcaj się, dużo czytaj i nie obrażaj się na ludzi, którzy dają Ci rady. Masz jeszcze wiele czasu, żeby dokładnie zrozumieć temat bezpieczeństwa komputerowego.

Tak naprawdę, za kilka lat jak dalej będziesz programował wrócisz tutaj i sam wyśmiejesz siebie przed lat. Wtedy będziesz wiedział, że nic nie wiesz. Czas zweryfikuje, ten CMS to wielka amatorszczyzna, baza danych jest używana z przymusu i do tego nierelacyjnie (co w tym przypadku jest baaaardzo wskazane). Jak wcześniej wspomniałem, uważasz się za eksperta, pożyjesz kilka lat, pokodujesz to zrozumiesz

Mam jeszcze jeden poważny problem z polskimi znakami. A dokładnie używając phpMyAdmin. W tabelach wordpressa można wpisać polskie znaki i zachowują się w phpmyadmin normalnie. W moich tabelach chociaż kodowanie i wszystko jest to samo znaki polskie występują jako ?

Masz jakiś problę ?
Mówiąc tabelach co masz na myśli? Pola w tych tabelach? Wczytywanie, zapisywanie? Sprecyzuj.
A stosowałeś się do tego: http://php.pl/Wortal/Artykuly/Pomysly-pora...e-znaki-a-MySQL ?

create database nazwa default character set utf8 collate utf8_polish_ci
i musza byc polskie znaki:D

Tak to wygląda w phpMyAdmin na screenie. Za diabła nie chce działać:

http://s6.ifotos.pl/img/Beztytuup_rsshxax.png
(przykładowy napis w bazie to: coś ktoś gdzieś)

W bazie każdy polski znak zamienia się na ?
O dziwo w tabelach wordpressa również jest to samo kodowanie i polskie znaki działąją

PS: W phpmyadmin jest taki błąd:
Warning: #1366 Incorrect string value: '\xC4\x85\xC5\x9B\xC4\x87' for column

UTF-8_GENERAL_CI

I ZAWSZE TAKIE USTAWIAJ

Wyzej od prowseed dostales link z pytaniem czy sie do tego zastosowales? pewnie nie bo gdybys sie zastosowal to bys mial polskie znaki

Jeśli baze masz ustawiona na utf8_polish_ci albo utf8_unicode_ci - bazie mozesz dać spokój.

Przeanalizuj dokładnie temat:

Tutaj temat

po połączeniu z bazą dodaj

[PHP] pobierz, plaintext 
mysql_query("SET NAMES 'utf8' COLLATE 'utf8_unicode_ci'");
[PHP] pobierz, plaintext 

Tylko że w bazie polskie znaki w ogóle nie wyświetlają się to znaczy że zrobię coś takiego:
UPDATE tabela SET id='ąeć';

Po poleceniu SELECT * from tabela;
otrzumuję takie coś:

?e?

Próbowałem te 2 kodowania. Za nic w świecie nie działa. Na pewno z bazą jest problem. O dziwo na swoim komputerze localhost mam polskie znaki, a tu za diabła nie idzie.

PS: Polecenia przykładowe, wszystko robię przez phpmyadmin

Ustawiłeś poprawne kodowanie dla bazy, tabel? Pokaż.

Tak, kodowanie bazy i tabel jest zawsze na utf8_polish_ci. Nie wiem dlaczego polskie znaki są zawsze ?. Tutaj takie krótkie nagranie z PHPMYADMIN:

http://www.youtube.com/watch?v=3BSGyrekCLk...eature=youtu.be

Jest tam pokazane jakie problem występuje

Uczyli Cie w szkole o czytaniu ze zrozumieniem? Przeczytaj to co napisali wyżej, później przeczytaj swój post i wyciągnij wnioski co jest źle.

Nie było takiego czegoś w gimnazjum niestety. Tyle się oczytałem o tych kodowaniach że zwariowałem i nie wiem już nic

Musiało być, tylko nie uważałeś. Jakbym był złośliwy, ale przecież nie jestem... to bym Ci nagrał filmik, ale mi się nie chce, więc musisz się skupić na tym co czytasz. Wszystko jest już wyjaśnione, a Ty sam na tym filmiku pod koniec wskazałeś kursorem co masz źle.

To czytaj jeszcze raz, rób jedno po drugim i w końcu dojdziesz ;D (do rozwiązania(

PS: Czytania ze zrozumieniem nie było, ostatnio mieliśmy na polskim T: Alter ego poety - ale z czytania ze zrozumieniem nie było

Rozwiązane. Ok wiem, poszczególne pola miały źle. Jak mogłem tego nie zauważyć?

Ale gdzie zmieniasz to utf8_general_ci ? I zapytanie też powinno mieć informacje o utf8 a jakoś tego nie widać.

Dodałem jeszcze wiele funkcji, zabezpieczyłem dodatkowo i chciałbym żebyście zobaczyli teraz do tego, czy na pewno jest wszystko w porządku. Na chwilę obecną projekt jest całkowicie gotowy (z wyjątkiem projektu aktualizatora).

http://wrzucacz.pl/file/7911341476454

A tutaj ten plik wrzucony na moją stronę i zainstalowany. Dodałem bardzo dużo nowych rzeczy takich jak:
- instalator bazy
- parę funkcji
- z wyglądu

Jeszcze w ramach testów jest aktualizator (update). Na razie nie bierzcie go pod uwagę. W przyszłości automatycznie będzie pobierał informacje o aktualizacjach (curl).

Również zobaczcie na wygląd, co tu dodać, zmienić, itp

Pracowałem nad nim parę dni, wszystko 3 razy sprawdzając i wg. mnie jest ok

[PHP] pobierz, plaintext 
include('include/baza.php');
[PHP] pobierz, plaintext 

Po co łączysz się z bazą zaraz na początku pliku?

[PHP] pobierz, plaintext 
if(!is_array($_GET['id']) && isset($_GET['id']) && preg_match('/^[0-9a-zA-Z_]{1,25}$/',$_GET['id'])) {
	if(in_array($_GET['id'],$kategorie)) {
		include('kategorie/'.$_GET['id'].'.txt');
	}
	else
	{
		include('kategorie/'.$kategorie['1'].'.txt');
	}
}
else
{
	include('kategorie/'.$kategorie['1'].'.txt');
}
[PHP] pobierz, plaintext 

A co jeśli plik będzie miał kropkę w nazwie? I po co Ci pliki skoro masz bazę danych.

[PHP] pobierz, plaintext 
if($pasekboczny_spr == 613) { // Jeœli $pasekboczny_spr jest równy 627 to znaczy że istnieje
	include('include/pasekbocznyspr.php'); // Tabela HTML/PHP z paskiem bocznym
}
[PHP] pobierz, plaintext 

To nadal jest śmieszne.

[PHP] pobierz, plaintext 
<table>
<tr>
<td width="770" bgcolor="<?php echo(file_get_contents('konfiguracja_txt/kolorstopki.txt')); ?>"><center><materlink>Strona korzysta z materCMSv3 by <a href="http://www.materdefense.hostzi.com"><materlink>materkamil</materlink></a></materlink></center></td>
</tr>
</table>
[PHP] pobierz, plaintext 

Układ na tabeli? Koszmar.

[PHP] pobierz, plaintext 
if(isset($_SESSION['logowanie']) && $_SESSION['logowanie'] == 2) {
	echo('<br><a href=admin><c><center>Panel Administracyjny</center></c></a>');
}
[PHP] pobierz, plaintext 

To już było omawiane.

Trzymasz konfiguracje w plikach txt, to po co Ci baza danych?

[PHP] pobierz, plaintext 
$a = mysql_query('SELECT * from pasekboczny WHERE id=1');
$b = mysql_query('SELECT * from kategorie WHERE id=1');
$c = mysql_query('SELECT * from tytul WHERE id=1');
$pasekboczny = mysql_fetch_array($a);
$kategorie = mysql_fetch_array($b);
$tytul = mysql_fetch_array($c);
[PHP] pobierz, plaintext 

Po co Ci aż tyle zapytań?

[PHP] pobierz, plaintext 
	$login = addslashes($_POST['login']);
	$haslo = addslashes($_POST['haslo']);
	$q = 'UPDATE logowanie SET login=\''.$login.'\', haslo=\''.$haslo.'\' WHERE id=1';
	mysql_query($q);
[PHP] pobierz, plaintext 

Jak już się upierasz przy mysql_* zamiast PDO, to addslashes nie jest najlepszym wyjściem, mysql_escape_string itd.

[HTML] pobierz, plaintext 
<c>#1:</c> <input type="text" name="k1">
<c>#2:</c> <input type="text" name="k2">
<c>#3:</c> <input type="text" name="k3">
<c>#4:</c> <input type="text" name="k4">
<c>#5:</c> <input type="text" name="k5">
[HTML] pobierz, plaintext 

Co to jest <c>?

[PHP] pobierz, plaintext 
$q = 'UPDATE kategorie SET k1=\''.$k1.'\', k2=\''.$k2.'\', k3=\''.$k3.'\', k4=\''.$k4.'\', k5=\''.$k5.'\' WHERE id=1';
	mysql_query($q);
	echo('<c><center>Polecenie wydane do bazy danych: <br>'.$q.'</center></c>');
	// Tworzenie plików kategorii
 
	$k1 = fopen('../kategorie/'.$k1.'.txt','w');
	fwrite($k1,'Utworzono kategorię');
 
	$k2 = fopen('../kategorie/'.$k2.'.txt','w');
	fwrite($k2,'Utworzono kategorię');
 
	$k3 = fopen('../kategorie/'.$k3.'.txt','w');
	fwrite($k3,'Utworzono kategorię');
 
	$k4 = fopen('../kategorie/'.$k4.'.txt','w');
	fwrite($k4,'Utworzono kategorię');
 
	$k5 = fopen('../kategorie/'.$k5.'.txt','w');
	fwrite($k5,'Utworzono kategorię');
[PHP] pobierz, plaintext 

Czyli nadal się ograniczasz do 5 kategorii?

Reasumując. Niczego nie poprawiłeś. Nadal jest źle, a to co zrobiłeś to drobna kosmetyka której nie widać.

No ja uważam że zmiany są na minus. Ocenię od strony odbiorcy
Jak chce pisać komentarz na Twojej stronie to mnie przenosi do strony z CMS-em, piszę więc tu:
1. Instaltor nie działa, nie tworzy tabel w bazie danych
2. Próba skopiowania poleceń SQL z pliku konczy się komunikatem:

[SQL] pobierz, plaintext 
#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM AUTO_INCREMENT=2' at line 10
[SQL] pobierz, plaintext 

Kilka uwag:

Odnośnie przejrzystości :
1. Style css umieszczasz w małym polu, gdzie trzeba przewijac żeby zobaczyc te kilkadziesiąt linijek kodu. To jest dobra czytelność?
2. Zmiana koloru paska bocznego - na stronie pisałem Ci o możliwości wpisywania po polsku nazwy albo informacji jak to czynić. Teraz wpisałem zielony, oto kod widoczny w cms:

[SQL] pobierz, plaintext 
UPDATE pasekboczny SET kolor='zielony' WHERE id=1
[SQL] pobierz, plaintext 

A pasek jest ... czarny.
3. Nadal pole hasło nie ma odpowiedniego typu. Czyli jest typ text zamist password. O tym również informowałem w komentarzach(zarówno w instalatorze tak jest jak i w panelu admina).
4. Nadal nie ma na stronie głównej odnośnika do panelu administracyjnego. Nie wiem czy celowo, czy przypadkowo, jeśli stosować opisane przez Ciebie sposoby zabezpieczenia przed włamaniem do panelu administracyjnego, to ręczne wpisywanie adresu trochę będzie uciążliwe
Na koniec drobna uwaga. Mianowicie jak się zwracasz do innych przez słowa: Twój, Ciebie, Ty, to należy pisać je z dużej litery.

Reasumując, jeśli zakładać że kolejna wersja ma być lepsza, to raczej tego warunku nie spełniasz, nie widzę nic, co byś ulepszył, jeśli chodzi o błędy które były wymieniane przeze mnie w komentarzach na Twoim blogu. A ten instalator - sprawdź jeszcze gdzieś indziej - bo u mnie naprawdę nie działa, nie wiem czy innym również.

Baza ma parametr

[PHP] pobierz, plaintext 
or die('cos');
[PHP] pobierz, plaintext 

więc w przypadku błędu danych kod dalej nie wykona się. Do tego, co to szkodzi?



Kropkę? Przecież kategorię to jedno lub dwa słowa, bez znaków typu kropka, przecinek, itp. Co do plików, ogólnie przyjąłem zasadę że konfiguracja będzie w bazie a kategorie będą w plikach.

Strona oparta na tabelach, jednak wszystko jest zaokrąglone i wygląda to wg. mnie dobrze.



Z sesjami? Widzisz panel admina gdy masz sesje 2 (po wpisaniu hasła). Tak jest np: w forum phpbb, ułatwi to dostęp do PA aby nie przechodzić pod /admin

Trzymasz konfiguracje w plikach txt, to po co Ci baza danych?



Racja, zaraz to poprawię.



<c> to tag HTML dzięki któremu tekst jest żółty. Jest to zdefiniowane w CSS, aby uniknąć pisania długiego <font color>


Zapomniałem o tym. Również to poprawię, będzie wybór ilości kategorii

--- @up

Co do instalatora u mnie działał na localhost oraz na moim hostingu hostzi.com - jednak masz rację. Polecenia wkleiłem z phpmyadmina i są niepoprawne dlatego są błędy. Również to poprawię.

Okno do stylów zaraz powiększę

Co do kolorów, dam informację.

Pole z hasłem jest przecież password

Na str. głównej nie ma linku do PA bo jest to kompletnie niepotrzebne. Na większości stron nie ma przecież linku do PA. I tak zwykły człowiek nie ma tam dostępu, lecz admin gdy jest zalogowany ma ten link na dole

ta jasne : D

Tabele nie są do budowy wyglądu strony.


Jasne, ale sesja musi być tylko równa 2? Była o tym mowa.


Nie ma czegoś takiego w specyfikacji jak tag <c>

Nie dość że nie znasz podstaw PHP, to jeszcze brakuje Ci wiedzy na temat HTML i CSS.


Aż szkoda komentować.

Zapomniałem dodać:

[PHP] pobierz, plaintext 
Notice: Undefined index: id in C:\xampp\htdocs\matercmsv3\index.php on line 40
[PHP] pobierz, plaintext 

W wersji 2.0 też był ten błąd, pisałem o nim w komentarzach ...
Na serwerze zewnętrznym również nie działa ten instalator... Czy komuś on działa?
Fajnie gdybyś dał przekierowanie na instalator - po co user ma oglądać komunikat o błędzie w dostępie do bazy danych?

jak może działać jak samemu trzeba modyfikować plik z danymi, zamiast wypełnić formularz
to tego błędy z cyklu mysql_fetch_array

Tutaj wersja poprawiona na szybko:

http://wrzucacz.pl/file/9851341482802

Zaraz edytuję post i odpowiem

---



Plik db.php modyfikuje się sam jeszcze przed include. Nie wiem dlaczego wam nie działa, u mnie na wamp, krasnal i hostzi.com działa bez problemów.



Nie rozumie o co Ci chodzi?


?

jak to sam sie ma modyfikowac? toż tam tylko połączenie jest i wybor konkretnej bazy przeciez
gdzie sa create tables bo nie widze

achhh foldera instalator znalazlem: D - który nie dziala:<

Przeczytaj cały temat, odpowiedź już padła.

http://wrzucacz.pl/file/5521341484044

Jeszcze raz wrzucam bo nie wiem czy czasem nie wykonałem unlink.
Jak to, przecież jest tam wszystko pełne, tworzenie tabel, dodawanie wpisów itp

Widzę że ciężko Ci uwierzyć, więc proszę:

To jest akurat screen z serwera windows -> iis, ale na apachu tak samo strona wygląda po instalacji.

Wrzuć to na jakiś http://pastebin.com/ nie ma sensu ściągać co chwilę jakichś tam plików.

http://pastebin.com/9ssSKY0m

Na początku zamiast || jest &&

Nie wiem jakim cudem nie działa ci instalator. Sprawdzałem na 3 różnych serwerach i 2 komputerach. Mi działa

Witaj,

od strony oglądającego ten cms to wersja v2 od v3 praktycznie niczym się nie różni :-/
Układ elementów jest dokładnie ten sam, jedynie zmieniło się tło i niektóre grafiki...

Stosowanie

[HTML] pobierz, plaintext 
<c></c>
[HTML] pobierz, plaintext 

oraz

[HTML] pobierz, plaintext 
<materlink></materlink>
[HTML] pobierz, plaintext 

na pewno nie jest dobrym rozwiązaniem - można przecież stworzyć diva z klasą "materlink" i będzie to lepsze i poprawne rozwiązanie

Już dużo osób pisało Tobie masę rzeczy, którą należy poprawić - poczytaj sobie jeszcze raz ten długi temat

Ja jak już na 100% przekonałem się że nie potrafię zrobić czegoś co ładnie wygląda zacząłem używać bootstrapa, Tobie też to polecam

Zapomniałem zmienić domyślnych haseł do PA i teraz ktoś siedzi w moim panelu, a ja muszę czekać aż skończy mu się sesja

Hahaha

o nie: DDDDDDDDDDDDDDDDD

Haha

To sobie długo poczekasz... nawet nie wiesz jak długo

PS. Ten temat należy umieścić w dziale HUMOR

//EDIT sam zobaczysz, że to będzie więcej niż 30min

Nie wiem jak mogłem o tym zapomnieć. Teraz poczekam pół godziny aż skończy mu się sesja

ja tylko odniosę się do tego:

[PHP] pobierz, plaintext 
if(isset($_POST['serwer']) || isset($_POST['user']) || isset($_POST['haslo']) || isset($_POST['baza'])) {
$z = '<?php mysql_connect("'.$_POST['serwer'].'","'.$_POST['user'].'","'.$_POST['haslo'].'") or die ("Problem z serwerem");
mysql_select_db("'.$_POST['baza'].'") or die("Problem z baza"); ?>';
$o = fopen('../db.php','w');
fwrite($o,$z);
fclose($o);
[PHP] pobierz, plaintext 

jak rozumiem zapisujesz wszystko co user rzuci do $_POST w pliku .php który będzie się wykonywał ? co w przypadku gdy w $_POST znajdzie się kod php ? Rozumiem, że to tylko instalator, ale co jeżeli ktoś nie usunie pliku, lub włamywacz uruchomi instalator wcześniej niż użytkownik ?

W instalatorze wyświetlasz:



pomimo, że nie sprawdzasz czy faktycznie wykonały się one.



Do tego to co już wcześniej napisano, generalnie jak dla mnie projekt do kosza i wyciągnięcia wniosków jeżeli tworzysz projekt oparty o pliki to zadbaj o ich bezpieczeństwo i nie używaj bazy danych, jeżeli zaczynasz używać bazy to trzymaj już wszystko w bazie.

Mały update:


A nie prościej wyłączyć serwer?

Darmowy hosting?

Brałem pod uwagę, jego serwer w domu, tudzież coś gdzie jest opcja choćby zdjęcia przywilejów dla usera x z bazy. No chyba że pisząc PA ma namyśli panel do zarządzania hostingiem....

Tak, wpisując zamiast haseł można wykonać kod PHP. Jednak wykonanie instalatora przez włamywacza przed użytkownikiem jest mało prawdopodobne.

Strona już została zabezpieczona, więc włamywacz nic już nie może. Strona oczywiście stoi na darmowym hostingu i nie mogę wyłączyć serwera.

Patrząc po ilości zaleconych poprawek, w creditsach powinien dać forum.php.pl jako współautora

Znając Twój brak doświadczenia, to włamywacz może wszystko i to jest bardzo prawdopodobne, bo nic nie zostało zabezpieczone.

Jak to? W takim razie powiedz gdzie jest chociaż 1 błąd który poważnie zagraża jego bezpieczeństwu? Te wszystkie <? i <?php to tylko drobne błędy, jednak gdzie tu widzisz poważne błędy?

Zarówno ja jak i inni, wymienili w tym temacie wszytko co możliwe. To nie jest CMS, tylko zlepek nieudolnie skopiowanego kodu z internetu.