Witam Was bardzo serdecznie!

Na początek chciałbym poprosić moderatorów o wyjaśnienie zasad panujących w tym dziale, przeczytałem przypięte tematy i napisaliście tam: Nie dajemy pod ocene for dyskusyjnych (chyba że layout lub mod). Ja skrypt forum wykonałem samodzielnie, i pytam coś takiego mogę tutaj opublikować. Również nie można reklamować czegokolwiek, co jest trochę trudne gdy dajemy link do swojej strony. Ale mam nadzieję że nic mi się nie stanie.

Programowaniem zajmuję się od grudnia 2009 roku, robiłem gry w ,,Game Makerze". Potem przestałem, i czasami bawiłem się HTMLem, aby początku ostatnich wakacji rozpocząć swoją przygodę z PHP. W listopadzie 2011 postanowiłem że spróbuję zrobić jakiś większy projekt. Zabrałem się za robienie uploadera plików. Można było sobie tam założyć konto logować się i dodawać pliki. Znudziło mi się, więc zrobiłem forum do którego dołączyłem opcję wysyłania plików. Ciągle je ulepszam i wprowadzam nowe rzeczy. Niestety nie mam pomysłu jak wypełnić to forum działami, więc prezentuję raczej tylko system.

Proszę klikać w poniższy link:


Prosiłbym żebyście bardziej oceniali skrypt niż layout ponieważ został on zrobiony żeby był jakikolwiek.

Pozdrawiam Marcin Wieczorek

Przy zwijaniu i rozwijania kategorii proponuje dodac ciasteczka, bo inaczej ta opcja praktycznie nie ma sensu.
Faktycznie, layout biedny ale ostatecznie nie kłuje w oczy ^^ Na Twoim miejscu pomęczyłbym się chwilę nad kolorystyką i pomyślał jak to bardziej skompresowac. Układ głównego forum z racji małej ilości treści mógłby być przedstawiony w trochę inny sposób. Mam swoje pomysły, ale nie chcę niczego narzucać. Po prostu pomyśl o tym
Posty są za duże (w sensie przy większości tworzy się niepotrzebny whitespace). Ogólnie wygląda jak typowe forum w wersji bardzo... niemowlaczej [mam na myśli rozwój].
Daj testowe konto do forum/admina by moznabylo cokolwiek oceniac jezeli chodzi o skrypt.

ojjjj : ]
Na pierwszy rzut oka logowanie wyglada bezpiecznie.

takich krzaczków nie powinno tutaj być:

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 435

lub

forum.cezary.pl/index.php?p=warnlist&user_id='
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

Będzie problem z zalogowaniem po dodaniu uzytkownika ze znakami ', ", po prostu jes zamieni, co będzie skutkowało błędem przy logowaniu...

@prowseed: Skrypt jest w trakcie tworzenia, mam jeszcze wiele pomysłów. Minusiki skończyłem dopiero wczoraj rano, a w js jestem całkiem zielony. Podpatrzyłem trochę w przykładach i opanowałem ładowanie z jquery. Problem jest w tym że jak załaduje jedną wersje jquery to nie wszystko działa. Co rozumiesz przez skompresować? Co do układu to jest nieograniczona ilość sposobów, ale założenie było takie że będzie tam tego dużo, jak na każdym forum, phpbb, mybb, ipboard itp. Posty są za duże bo mam problem z ustawieniem tej pseudostopki pod postem. Chyba o to Ci chodziło. Konto możesz sobie zrobić, wystarczy rejestracja.


@r4xz: Nie powinno ich być, dlatego pokazuję Wam to żebyście wyłapali błędy i dziury. Napisz co dokładnie i gdzie wpisałeś że zobaczyłeś te błędy.

@toaspzoo: Niestety o tym wiem, tylko nie do końca umiem to naprawić. Są te magicze ukośne kreski itp. ale nie do końca wiem jak tego używać.


Mowa końcowa: (jak w Annie Marii Wesołowskiej, hihi)
Dziękuję Wam bardzo za oceny i szukanie błędów, jestem tylko zawiedziony tym że ktoś próbował popsuć moje forum i jeszcze zamieszczał linki do błędów, wyzywał od nabków itp. Codziennie poprawiam jakieś błędy oraz dodaję nowości, więc wchodźcie na forum regularnie i najlepiej zróbcie sobie tam konta. Zauważyliście pewnie że są tam prywatne wiadomości, więc proszę zgłaszać mi tam wszystkie błędy jakie wyłapiecie. Wszystko ulegnie poprawie.

Pozdrawiam

Od początku: Obejrzałem stronę, zobaczyłem "Zmniejsz" w stopce, kliknąłem, strona się przeładowała, nic się nie zmieniło (chrome)
Wszedłem do jakiegoś tematu, ostrzeżenia użytkownika jakieś czarne prostokąty, wygląda to brzydko

Rejestracja:
Użyj ReCaptcha, zaznacz które pola są obowiązkowe, pokaż od razu czy nick jest zajęty, czy hasła się zgadzają i jaka jest siła (są gotowe skrypty)

Po rejestracji:
done. - co to za napis?
Poza tym, powinna widnieć informacja o aktywacji a nie dopiero przy próbie logowania

Profil:
Ranga: true

Wiadomości o których pisałeś znalazłem dopiero po 10 minutach z ciekawości kliknąłem na "0" bo znaczku wiadomości prawie w ogóle nie widać.

Shoutbox - przy pisaniu przeładowuje całą stronę.

Liczba użytkowników online w ciągu ostatnich 10 minut: 3
  Test,

Zastosuj implode

Nigdzie nie mogę znaleźć opcji pobrania skryptu forum, więc nie ma więcej do oceny?

W forum chodzi o to by bylo lekkie, stabilne i chodzilo szybko. Forum tez powinno czytac sie szybko. Jezeli chcesz, by Twoje forum wygladalo jak kazde inne, to prosze bardzo. To byla tylko moja sugestia jak juz mowilem.


przy logowaniu w input: ' or 1=1--
przy rejestracji w nazwie: admin' order by'
Swoja droga jak kodujesz hasla? Zauwazylem, ze 2 pierwsze znaki (czasem 3 chociaz to moze przypadek) pozostaja takie same, a reszta jest w jakis dziwny sposob mieszana. Nie lepiej md5?


No nie zartuj : )
Poza tym- jak mamy testowac skrypt nie widzac jego kodu? Mamy stwierdzic, ze dziala?

//EDIT
http://forum.cezary.pl/index.php?p=user&am...r=1%20and%201=0

hasła z tego, co się dowiedziałem są kodowane w crypt(x, 12)

Zapewne odkryłeś to analizując mój kod który zdobyłeś po ostatnim włamaniu Chciałem to zmienić na MD5, ale na crypt jakoś nie znalazłem crackera do łamania haseł, który mi ktoś podał na MD5, dlatego łamałem Twoje hasła do znajomka. Czemu crypt jest gorszy? Może mi ktoś powiedzieć?

Mam pytanie co do tego implode, o co dokładnie chodziło? Chyba wiesz że zalogowany byłeś tylko Ty, reszta to goście

Edit:
Przerobiłem skrypt tam gdzie były dziury.
- logowanie
- lista ostrzeżeń
- pokazywanie danych użytkownika

Chyba pora zainteresować się pojęciem solenia haseł... a przy okazji można zainteresować się też phpass'em.

zawsze można zrobić sha1(md5(sha1(md5(sha1(sha1(sha1(md5($pass)))))));

wtedy to będzie hard ;p

a jeśli chodzi o znajomka, to mała szansa, że się włamiesz ;p
Zatkałem wszystkie wymienione luki i filtruje wszystkie wejścia do bazy ...
A nawet... twój sposób był prostszy ! nie zablokowałem możliwości uploadowania plików php do swojego folderu... młody byłem i głupi ;p

Pamiętaj że mam 790mb Twojego FTP które się już mi się pare razy przydało. Tam masz luk jak średników

O soleniu wiem tyle że chodzi o dwa albo ileś znaków nie hashowanych na początku czy gdzieśtam. Skoro twierdzicie że są lepsze metody to się zastosuję, przez ten czas przeczytałem troszkę w googlach. Najlepiej zrobić 2 hashe chyba

Macie jeszcze jakieś luki?

Edit:
Naprawiłem te luki co hxor pokazał.

Za te moje 790 MB z mojego ftp wparuje do Ciebie policja i będziesz miał przychlast.
Jakbym miał tyle luk, co piszesz, to nie byłoby juz znajomka...

Ktoś się wku...i skasuje wasze 2 "pseudo"strony jednocześnie


Co do tematu nadal sypie błędami:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 447

Błędami czy błędem? Ten co napisałeś właśnie naprawiłem, dzięki.

Toaspzoo: Znajomka by nie było, gdybym się nie zlitował i nie dał Ci kopii bazy, której sobie tą całą grzegżółką nie naprawiłeś. Dam nawet screena:
dropbazyscreen.png
Luk jest dużo, np ten do testowania kodu, highlight_file(); Przeglądałem sobie te skrypty.
Dawajcie jeszcze jakieś luki ^^

Edit: Damonsson: ' i " też naprawiłem, dodając \ wystarczy? Czy da się obejść?
Edit2: No widzisz, bo ja mam funkcje różne, i mam funkcję blokującą xss, sql injection itp. i wszędzie gdzie wprowadza się nick czy jakiś tekst wywołuję tę funkcję, więc z automatu załatałem 5 innych dziur.

1. No to teraz daj jako login:

2. Przy rejestracji podałem nick
efekt: Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 584
Błąd zapytaniaYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'neal','wwi.wYYTmUfjM','false','true','0','User.','www@ww.ww','','178.36.74.28','' at line 1

@edit: Teraz jest ok. Luk większość połatałeś w porównaniu z tym co dałeś na samym początku, więc powinno być ok.

Tak, tylko wyświetlasz to w pętli i po każdej iteracji dodajesz przecinek i po ostatniej osobie też on jest. Zastosuj implode będzie dobrze.


Tak samo jakbyś zrobił sha1($pass) Nie ważne ile razy mieszasz, poczytaj o tęczowych tablicach, znawco.

Możecie my przy okazji pomóc? Nie działa mi onkeyup (czy jakos tak) w formularzach żeby wykonać fun kcję js i zbadać sile hasła którą mam już zrobioną, znalazłem łatwy skrypt. To samo z dostepnoscią nicku w jquery co też już mam.

Przejde na sha1.
Zrobie implode tak jak mowicie, i to nawet w 2 miejscach

możesz także zamiast onKeyUp zastosować OnKeyPress, OnChange...

Chyba md5 + sól

Skomplikowane to, udało mi się dojść do porozumienia z htmelem jeśli chodzi o sprawdzanie dostępności nicku i poprawności emaila, jquery oczywiście. Niestety nie słucha się mnie to coś jak robię porównywanie haseł. Niby prosty warunek, pass1==pass2, ale coś jest nie tak z pobieraniem danych z formularza :< Trudno, piszcie czego jeszcze brakuje

Może masz inne kodowanie haseł w bazie a inne porównujesz ?

Źle mnie zrozumiałeś, chodzi o hasła przy rejestracji, w js, wpisywanie hasła jakie chce się mieć i potwierdzenie hasła poniżej, a następnie wyświetlenie czy hasła się zgadzają. Tutaj baza nie ma nic wspólnego.

To ja się już pogubiłem totalnie, zdecydujcie się. MD5 + salt, sha1, czy co w końcu!?

Hashować to md5 + sól ew. jak chcesz coś bezpieczniejszego to użyj np. sha256, sha512

wszystko naraz !

Jak wsadzasz hash do hasha (np. sha(md5('tajnypass'))) nie zyskujesz nic poza większym ryzykiem kolizji a więc mniejszą liczbą kombinacji potrzebną do wygenerowania hasła.

Co do wielokrotnego hashowania był temat na tym forum a raczej dyskusja, poszukaj a znajdziesz.

Swoją drogą Twoje sha1(sha1(sha1( etc. nic nie daje bo hashy nie da się rozkodować, szuka się jedynie kolizji, ciągu który daje identyczny hash i np. Twoje hasło: trudne2! może mieć identyczny hash co: wlazł kotek na płotek 29349

Ponieważ bardzo wiele się zmieniło, chciałbym wszystkim przypomnieć o moim forum.
Pracowałem bardzo namiętnie przez te miesiące, i naprawdę staram się żeby skrypt wyglądał idealnie.

Lista zmian:
System rang, mojego autorstwa i myślę że świetny
Bbcode by Wookieb :3 Pozdrowienia dla niego, na PW też pomaga
Działający shoutbox z ajaxem (na samą myśl ile się męczyłem z polskimi znakami dreszcz mi po plecach przechodzi)
Przypinane tematy
Ogólna optymalizacja, wcześniej microtime 0,7s, teraz 0,07
Teoretycznie nie ma możliwości wciśnięcia sqlinjection, XSS w sumie też nie.
Hasła zapisywane w md5, tak jak chcieliście
Działy na forum nie tylko jako takie z tematami, ale również można przekierować pod url, w łatwy sposób.
Sourcebin, czyli miejsce na kody (najlepiej php) razem z ładnym syntax highlighterem, czyli coś na kształt pastebina. (najciekawsze jest jednak to że do tego wykorzystam niebawem tę fantastyczną klasę wookieba)
Whitelista do serwera Minecraft, oparta na bazie mysql z podaniami przez formularze na forum, aktualnie usunięte
Skryptoteka z ciekawymi rozwiązaniami w środku, aktualnie również usunięte.
Możliwość wciśnięcia Pomógł (inspiracją było to forum) jeszcze niedoskonałe, ale pracujemy
Lepszy i poręczniejszy uploader na pliki, również z drag&drop, oraz przycisk FileFast, o którym w informacjach o koncie vip
Przechowywanie plików w bazie danej (blob) w przyszłości zastąpi to pliki na serwerze
Wszędzie bez wyjątku przyjazne linki (czy jak to tam się nazywa) czyli mod_rewrite

Jak widzicie jest bardzo wiele nowych i lepszych rzeczy, dlatego proszę o ponowną ocenę moich wypocin.
www.forum.cezary.pl


Edit: Już widzę że ostro testujecie, /user/54859375395739444444444444444444444 D:

Zwijanie kategorii mogłoby się opierać na ciastkach- wtedy by to miało sens.
Przycisk zmniejsz stronę zmienia się w srollera po kliknięciu.

Cześć!
1. Kiedyś się z tym męczyłem, ciastka jquery, ciastka php, jednak czort z tego wyszedł. Dopiszę sobie do listy rzeczy do zrealizowania, może się kiedyś doczekasz
2. Nie rozumiem jak, dasz screena?

-no to wpisz zamiast 5485937539573944444444444444444444 liczbę -1. Walidacja jako taka , wymaga jeszcze trochę poprawek -jak porównywanie powtórzenia hasła- trochę zbija z tropu.

Magiczna liczba -1 jest wstępem do przetestowania czy skrypt jest ogólnie odporny na sql injection.

Uploader:


Dlaczego, skoro trzymasz jako blob ?

Ogólnie całość wygląda ładnie, jestem na forum od początku, czyli od totalnej szarówki...
Forum przez ten czas otrzymało wiele dodatków oraz zostało na + przepisane obiektowo

@Niktoś: To nie sql injection tylko mod_rewrite
@Toaspzoo: To rozszerzenia avatara, które są przechowywane na serwerze. Napisałem że blob wkrótce zastąpi trzymanie na serwerze, jednak teraz pliki są dodawane na dwa sposoby.

Ja podrzucę kilka drobiazgów z kategorii estetyka i wygląd:
http://forum.cezary.pl/temat/86
znalezione oglądając w google chrome v20

• na dzień dobry
  

  [HTML] pobierz, plaintext 
  Warning: Invalid argument supplied for foreach() in /home/.../forum/funkcje.php on line 1857
  [HTML] pobierz, plaintext 

• pole treści posta jest wyjątkowo ściśnięte, a pole awatara nadmiernie rozciągnięte co powoduje odrobinę złe gospodarowanie przestrzenią
  po inspekcji i wywaleniu jednego parametru jest dobrze
  

  [CSS] pobierz, plaintext 
  .post-text{ width: 600px; }
  [CSS] pobierz, plaintext 

• w stopce wyłącz dla strzałki szybkiego przewijaka na górę
  

  [CSS] pobierz, plaintext 
  border-bottom: 1px dashed #666;
  [CSS] pobierz, plaintext 

• pod postem tam gdzie pojawia się barek i short link do danego posta jest coś nie tak z wyświetlaniem - zerknij

Głównym moim błędem było to, że przeglądałem forum zalogowany jako ja. Teraz jak się wylogowałem i zacząłem buszować to faktycznie, rozjechane, foreach itp. przewijak w górę już nie ma podkreślenia, problem w tym że nie ja robiłem css i szukam tego czegoś od miesięcy, jednak nie miałem czasu żeby to dokładnie odszukać. Treść postu rozjechana na innych rozdzielczościach niż mój netbook... Naprawione, chyba, zobaczcie czy wygląda dobrze. Foreach też ten błąd nie występował jak byłem zalogowany ponieważ spełniały się odpowiednie warunki i zmienna była tablicą. Wystarczyło dać $options = array(); . Rozjechania id posta tak samo nie występowało jeśli byłem zalogowany. Dzięki wielkie, jakie jeszcze usterki wyłapaliście?

skad wiesz ze zostalo przepisane obiektowo hm?? nie widze zeby on o tym pisal

Bo się chwalił na komunikatorze, zresztą widziałem kawałki kodu

http://www.codinghorror.com/blog/2012/04/speed-hashing.html

Pozdro.

I pomyślcie trochę co wam da sól, psinco. Przy włamaniu sól jest znana (chyba, że ktoś definiuje ją w pliku .php - ale czy atakującemu nie chodzi o dostęp na najniższym poziomie? więc i tak zerowe zabezp.)

Prawdą jest że korzystam z klas, niektóre gotowe tak jak bbcode wookieba, niektóre własne, bardzo przydatne, ale również sprawiające kłopoty, malutkie, czasami. To co powiedziałeś wyżej @MrWodoo jest od dawna już powodem dla którego nie stosuję soli. Myślałem żeby w bazie trzymać sól dla każdego inną, ale jak ktoś się już dostanie to ma wszystko. Profesjonalista sól zawsze znajdzie, a hash go może zatrzymać, powinien. Jednak w praktyce różnie to wygląda jak sami wiecie

Ale jeżeli odkoduje "posolone" hasło, to zdobędzie ciąg już posolony... co nic nie daje ponieważ Ty, porównując ciągi najpierw je solisz. Zatem porównane zostaje hasło "posolone" raz do hasła "posolonego" razy dwa.

Chodzi mi o to że jest duża szansa że haker pozna samą sól, którą może sobie od tego hasła odjąć, i problem z głowy. (tzn. dla nas to duży problem)
Dzisiaj dodaliśmy z Toaspzoo (chyba go będę musiał dodać jako współautora skryptu ) funkcje przypinania tematu oraz zamykania i otwierania go. Można to poznać po spinaczu przy nazwie tematu, i po tym, że jest pierwszy na liście, a przynajmniej zawsze wyżej niż jakikolwiek odpięty temat.

Ale jak ma sobie odjąć? Od zakodowanego hasha?

Po zdobyciu bazy haker przeleci hasha bruteforcem. To, że coś jest solone nie ma znaczenia, bo skoro mamy sól to można ją po prostu wykorzystać.
Tęczowe tablice, a to głównie przeciwko nim stosuje się sól, tracą popularność przy dzisiejszym sprzęcie i słabych algorytmach (łatwo o kolizję).

Wziąłem pierwszy link z google z hasła md5+sól. Doklejanie losowego kawałka stringa do hasła, i hashowanie. Potem trzeba trzymać tę sól w bazie, a przecież skoro ktoś dostanie się do bazy i wyciągnie hasło to co za problem zdobyć też sól? Potem bruteforce lub jakaś baza md5, cracker, wywalamy sól i gotowe. Jedyny szkopuł taki że może hasło dłuższe i bardziej skomplikowane, ale czy to ma duże znaczenie? Nie czas temat odpowiedni teraz na rozmyślania o md5, szukajcie proszę dalej błędów na moim forum, abym mógł je naprawić.

Próbowałem się zarejestrować na Twoim forum kilkanaście razy. Głupi nie jestem, dane podaje poprawne, ale za każdym razem mam błąd:

CTRL, oczywiście jeżeli trzymasz sól w polu o nazwie sól... to faktycznie zdobycie samej soli nie jest zbyt problematyczne. Jeżeli jednak wykorzystasz jako sól inną zmienną (chociażby datę rejestracji) sprawa wygląda trochę inaczej. Nie zrozum mnie źle, sól nie jest panaceum na wszelkie zło i przy jej zastosowaniu możesz czuć się maksymalnie bezpiecznie. Sól ma Cię zabezpieczyć przed tablicami tęczowymi. Hasło, które jest posolone da Ci kompletnie inny wynik przy przeszukiwaniu hash'y, które nota bene można znacznie wydłużyć.

A konta testowe? Chyba, że mnie gdzieś ominęło

Po tym co Pan Leszek Bucior przed chwilą wykombinował zabieram się za sól Szczerze gratuluję, lecz nie wiem jak to się stało. mam odpowiednie logi...

Konta testowe są pod warunkiem że się przetestuje rejestracje, a wtedy to już nie warto

Na razie jest to niewykonalne .

No nie jest, bo to właśnie modyfikuję, ale zapewne coś innego miałeś na myśli, co?
Sól została dodana, istniejące konta muszą się ponownie zalogować aby uaktualnić. Co do rejestracji też poprawiłem

Chciałbym również zaznaczyć że konta o nickach: admin, test, hacker itp. będą od razu usuwane

Zostało dodane:

solenie haseł
maksymalna liczba znaków w nicku przy rejestracji: 20