cześć:)
Chciałbym prosić o ocenę (także w komentarzach ) mojego systemiku komentarzy

http://www.comments.yoyo.pl/

... Boże ratuj. Mamy oceniać "pustą" stronę? Może być sypnął kodem?
A co do kodu twojej strony to tragedia o której wołalem do Boga w pierwszym zdaniu.

Jak da się zalogować to zapodaj konto testowe.

KOD:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Komentarze v3</title>
<meta http-equiv="content-type" content="text/html; charset=iso-8859-2" />
<meta name="Keywords" content="komentarze" />
<meta name="description" content="System komentarzy oparty o MySQL" />
<link rel="stylesheet" type="text/css" href="style.css" />
      <script type="text/javascript">
function hl(t,c) {
   if(c) {
       t.style.border='1px solid lightgreen';
   } else {
       t.style.border="1px solid steelblue";
   }
}
</script>
</head>
<body>
<?php if (isset($_GET['add'])):
?>
 
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
<center><table border="0" class="tabelka">
 <tr>
  <td>
   Nick:
  </td>
  <td>
   <input class="name" type="text" name="nick" style="width: 100px;" onmouseover="hl(this,true)" onmouseout="hl(this,false)" maxlength="12"/>
  </td>
 </tr>
 <tr>
  <td>
  Wpisz tutaj swój komentarz:
  </td>
  <td>
   <textarea name="content" class="content" onmouseover="hl(this,true)" onmouseout="hl(this,false)" rows="3" cols="40"></textarea>
  </td>
 </tr>
 <tr>
  <td>
   WWW: (Bez przedrostka <i>http://</i>)
  </td>
  <td>
   <input class="stronka" type="text" name="www" onmouseover="hl(this,true)" onmouseout="hl(this,false)" style="width: 200px;" maxlength="32"/>
  </td>
 </tr>
 <tr>
  <td>
   <input type="hidden" name="ip" value="<?php echo $_SERVER['REMOTE_ADDR']; ?>"/>
  </td>
  <td>
   <input type="submit" value="AKCEPTUJ" />
  </td>
 </tr>
</table></center>
</form>
<?php else:
 
  $baza = @mysql_connect('**********', '*******', '********'); // Dane do połączenia z MySQL
  if (!$baza) {
    exit('<p>W tej chwili nie można nawiazać ' .
        'połaczenia z serwerem bazy danych.</p>' );
  }
  if (!@mysql_select_db('*******')) { // Nazwa bazy danych
    exit('<p>Nie można w tej chwili ' .
        'zlokalizować bazy danych.</p>');
  }
  if (isset($_POST['content'])) {
    $content = strip_tags($_POST['content']);
    $ip = $_POST['ip'];
    $nick = strip_tags($_POST['nick']);
    $www = strip_tags($_POST['www']);
    $data = date('d.m.Y H:i:s');
    $sql = "INSERT INTO comments SET
        content='$content',
        www='$www',
        ip='$ip',
        nick='$nick',
        data='$data'";
    if (@mysql_query($sql)) {
      echo '<p>Twój komentarz został dodany. Dziękuję!</p>';
    } else {
      echo '<p>Bład podczas dodawania komentarza: ' .
          mysql_error() . '</p>';
    }
  }
  if (isset($_GET['delete'])) {
    $id = $_GET['delete'];
    $sql = "DELETE FROM comments
        WHERE id=$id";
    if (@mysql_query($sql)) {
      echo '<p>Komentarz został usunięty.</p>';
    } else {
      echo '<p>Bład podczas usuwania komentarza: ' .
          mysql_error() . '</p>';
    }
  }
  echo '<p>Aktualne komentarze:</p>';
 
  $result = @mysql_query('SELECT * FROM comments ORDER BY id DESC');
  if (!$result) {
    exit('<p> Bład podczas wykonywania zapytania: ' . mysql_error() . '</p>');
  }
  while ($row = mysql_fetch_array($result)) {
    $date = $row['data'];
    $nick = $row['nick'];
    $www = $row['www'];
    $ip = $row['ip'];
    $id = $row['id'];
    $content = $row['content'];
    $explode = explode(".", $ip);
    $ip = $explode[0].".".$explode[1].".".$explode[2].".xxx";
 
    session_start();
    if($_SESSION['zalogowany']) {
   $usun =  '<a href="' . $_SERVER['PHP_SELF'] .'?delete=' . $id . '"><img border="0" class="left" src="delete.png" alt="Usuń!" /></a>';
 }
else {
  
 $usun = '';
 
}
     echo '<center><table class="comment3">
<tr>
<td><font class="nick"><b>Dodane przez: </b>' . $nick . '</font></font><font class="date"><b>Dnia: </b><i>' . $date . '</i></font></td>
</tr>
</table>
<table class="coment">
<tr>
<td><font class="nick"><b>Komentarz:&nbsp</b></font><font class="comments_news">' . $content . '</font></td>
</tr>
</table>
<table class="coment2">
<tr>
<td><font class="www"><b>www: </b><a target="_blank" href=" . $www . ">' . $www . '</a></font><font class="ip"><b>IP: </b>' . $ip . '</font></td>
</tr>
</table>' . $usun . '<br /><br /></center>';
  }
 
   
 endif;
?>
<br /><br /><p><a href="<?php $_SERVER['PHP_SELF']; ?>?add=1"><img border="0" src="add.png" alt="Dodaj!" /></a></p>
<?php
if($_SESSION['zalogowany']) {
   echo  '<a class="strona" href="logout.php"><img border="0" src="logout.png" alt="Wyloguj!" />Wyloguj!</a>';
 }
else {
  
 echo '<a class="strona" href="login.php"><img border="0" src="login.png" alt="Zaloguj!" />Zaloguj!</a>';
 
}
 
 
?>
</body>
</html>
[PHP] pobierz, plaintext 

To nie jest panel, tylko możliwość usuwania Hasło: passwd

Po kiego ci logowanie skoro i tak można usunąć wpis bez logowania? :|

W sensie, że przez phpMyAdmin??

http://www.comments.yoyo.pl/index.php?delete=1
Nie chce mi się szukać konkretnych ID do usunięcia ale po kodzie widać, że nie sprawdzasz zalogowania przed usunięciem.

//Edit:
Właśnie wywaliłem ci wszystkie komentarze. Bez logowania. Jak?
http://www.comments.yoyo.pl/index.php?delete=1%20OR%201=1

Kod php kolejna tragedia.
Nawet nie wiem czy ci zadziała session_start().
A dlaczego? To sobie już poszukaj w manualu. Ocena 2/10 za wygląd formularza do komentowania.

Ja rozumie dobre chęci, ale jeżeli potrzebujesz pochwały to pochwała od siebie samego powinna ci wystarczyć. Jeżeli coś będzie naprawdę dobre to cię pochwali ktoś z zewnątrz.

Mały faq na twoje przypuszczalne pytania:
1). Co jest źle?
Napewno wywal logowanie, i popraw wcięcia w kodzie
2) Co jeszcze?
Wszystko
3) Dlaczego wszystko?
Bo jesteśmy w erze programowania projektowego a programowanie strukturalne jest głównie do ćwiczeń i tego się trzymajmy

@phpion czyli muszę dać na POST usuwanie?

Musisz poczytać o bezpieczeństwie (szczególnie: SQL Injection) oraz wykorzystać logowanie (sprawdzenie, czy user jest zalogowany) przy usuwaniu komentarzy.

Jeszcze jedno: coś mi nie działa to usuwanie? Na cba działało a tu nie? Zero zmian kodu, a nie działa? Po prostu nie znajduje ID. Jak to załatwić?

1. Nie ma tu nic do oceny. Przenoszę wątek na Przedszkole.
2. Proszę nadać mu inny tytuł.

cześć:)
Chciałbym abyście ocenili mój systemik komentarzy po drobnej modernizacji

http://strarus.cba.pl/index.php

Hasło: passwd

Proszę o ocenę:
a) Wyglądu strony
cool.gif Bezpieczeństwa strony [tzn. możliwość manipulowania komentarzami bez zalogowania]
c) Możliwości i funkcjonalności

Liczę na Wasze opinie i rady odnośnie tego co powinienem dodać, ująć, ulepszyć

ref

yyyy, a co to za logowanie tylko hasłem? A gdzie login? Jak sobie wyobrażasz konta uzytkowników?

Kolejna sprawa: mozna wstrzyknac kod js (dalem alert(2)) przez co bezpieczenstwo tego skryptu mozna do kosza wyrzucic.

Po tych kwiatkach nie chce mi sie juz nic sprawdzac

tak ,zauważyłem komunikat "2" jak mogę zabezpieczyć skrypt przed takim czymś?? używam przecież funkcji strip_tags do każdego z pól ? ap ropo logowania myślałem na logowaniem z bazą tzw. loginy i hasła były by przechowywane w bazie danych

PS. Ty to zrobiłeś przez panel edycji posta chyba... a tam specjalnie zostawiłem pole content bez strip_tags aby można potem w razie kradzieży skryptu komuś namieszać na stronie

Ales namieszal... normalnie brak slow...
Nie ma to jak logiczne myslenie: dodanie zabezpiecze, ale edycji już nie. Przeciez nikt przy zdrowych zmyslach nie hakuje podczas edycji....

czemu namieszałem?? a inne aspekty mojego skryptu??

Przeciez sam napisales:

No i mowie: to komuś namieszasz takim kodem. Zamiast mysleniem o mieszaniu, zajmij sie lepiej mysleniem o bezpieczenstwie twojego skryptu. Szukaniem naiwniakow co bedą chcieli "ukraść" ci skrypt bedziesz sie martwil za pare lat