Skończyłem pisanie własnego skryptu blogu. Ocenie podlega przede wszystkim PHP. Na layout poświęciłem rzecz jasna mniej czasu.
Konto admina - admin/admin
Specjalnie zablokowałem możliwość zmiany hasła, by nie dało się zmienić konta admina.
http://www.turson.pl/php/bms/
Główne założenia:
- możliwosc rejestracji/zalogowania
- panel uzytkownika - zmiana hasla/maila
- dodawanie komentarzy (admin moze usuwac)
- panel admina: dodawanie działow, wpisów, edytowanie, usuwanie; zarzadzanie kontami uzytkownikow
- bbcode we wpisach
Proszę w ogóle nie zwracać uwagi na podstronę 'ustawienia' w panelu admina, słuzyło to mi jako ułatwienie.
Pełna wersja: Skrypt bloga [PHP+HTML+CSS]
Tak na pierwszy rzut oka kuleje walidacja formularzy. Zarejestrowałem się poprawnie wpisując wszędzie spację. To samo jeśli chodzi o formularz dodania komentarza. Dodatkowo jest tam również podatność na XSS co widać we wpisie o numerze 3. Pozdrawiam, lwc.
Cytat
Zalogowany jako ' OR 1='1
to tyle w temacie
EDIT:
najlepsze, że teraz mam dostęp do wszystkich założonych kont
Cytat
Dodatkowo jest tam również podatność na XSS
Troszeczkę poprawie:
XSS-Cross-site scripting-sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript)
Post3 daje przykład ataku na bazę danych czyli jest tzw."SQL Injection".
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.