Tworzę sobie od dłuższego czasu projekt portalu społecznościowego dla studenów (moja praca inżynierska)

Chciałbym abyście ocenili moją dotychczasową pracę, może macie jakieś ciekawe pomysły na moduły?

Proszę o opinie i konstruktywną krytykę...

adres serwisu:
http://www.sswi.mlaskowski.pl

konto testowe:

1. Podatność na XSS - http://www.sswi.mlaskowski.pl/showgroup.ph...c=26&cat=16
2. The requested URL /search.php was not found on this server.
3. Możliwość wylistowania zawartości katalogu - Index of /admin
4. http://sswi.mlaskowski.pl/config.php - takie coś nie powinno być dostępne z poziomu www.

I to wszystko w ciągu kilkunastu minut.

- minimalnie się rozjeżdża.
----------------------------------------

czemu skrót(y) "Twoje grupy:
Moje grupy
Zarządzaj grupami
Zaproś znajomych" jest nieklikalny?

mógłbyś zrobić screena gdzie strona się rozjeżdża?
a co do drugiej części linki są nieklikalne ponieważ myślę nad zagospodarowaniem tego pola w inny sposób. Już parę osób zwróciło mi uwagę, że w zbyt wielu miejscach powtarza się to samo menu co nie ma zbytnio wielkiego sensu.

Może jakieś pomysły co można by wrzucić w ten blok?

http://api.browsershots.org/png/original/a...1009876a824.png (polecam częściej korzystać z tej stronki)

co do tego panelu - racja, ale ja to widzę w inny sposób
z "moje konto" listę "START MÓJ PROFIL GRUPY..." wrzucić tam gdzie aktualnie znajduje się ten panel. bardziej przystępne będzie i miej szukania pod warunkiem, że nie będzie to lista rozwijana (jak teraz), ale "sztywno" przyczepione.

Czemu? Ciekawi mnie to bo sam kiedyś korzystałem z podkatalogu na pliki konfiguracyjne a całość leżała w public_html tylko że czasami zdarza się, że dostaję serwer na którym nie ma takiej opcji. Co złego jest w trzymaniu takiego pliku ogólnodostępnego? A jeśli i tak sprawdza is_defined czy wywołano bezpośrednio czy przez include?

Nie powinno być dostępne, ponieważ w przypadku gdy admin coś namiesza na serwerze, np wyłączy obsługę short tagów (a te były użyte w takim skrypcie) lub spowoduje, że php będzie traktowany jak tekst, wówczas każdy będzie w stanie zobaczyć login i hasło do bazy oraz wszystkie inne informacje, które powinny zostać ukryte.
Jedyne co może być widoczne z poziomu strony to pliki graficzne, css, javascript oraz index.php. Jeśli serwer nie oferuje takiej możliwości, dostęp do tych plików powinien być zablokowany w inny sposób.