Stworzyłem taką stronę o bezpieczeństwie, komptuterach i programowaniu w PHP:

http://www.materdefense.ugu.pl

I chciałbym się dowiedzieć jak ocenicie tą stronę, układ itp. Od razu powiem że pisze artykuły takie, jak mam na coś ochotę, tzn. nie wwale 20 bezsensów tylko jak wymyśle jakiś ciekawy temat to napiszę. Do tego kurs PHP od kompletnych podstaw. Nie toleruję kursów pisemnych, dlatego postanowiłem nagrać jak, gdzie i co.

Jak podoba się strona? Co zmienić? Czy to ma sens? Darmowy hosting i reklamy, a może treść się liczy bardziej? Proszę o opinię

1) Lewa kolumna ta niebieska wydaje mi się zbędna albo postaraj się ją jakoś lepiej zagospodarować, bo masz miejsce do popisu.
Tu się tyczy też fakt, że na każdej podstronie w tej kolumnie jest to samo:

2) Graficznie strona też leży, nie wiem jakie masz doświadczenie, ale nie widzi mi się po prostu taki układ
3) Co zrobisz przy ilości artykułów równych np 100 ? Będą podstrony ?
4) Jak już dajesz filmiki to embeduj je na swojej stronie, bez sensu jest przechodzenie na YT
5) Mówisz o kompletnych podstawach php, a już zaczynasz od wypisania tekstu nie wspominając o tym, że nie musimy korzystać z nawiasów możemy też zrobić echo 'dupa'; i tekst też zostanie wyświetlony. Zrobiłeś też kawałek o zmiennych, zmienna $x, która trzyma tylko tekst, nie wspomniałeś, że zmienne w PHP mogą przyjmować różne wartości, dalej... wspomniałeś o $_GET['']; ale mogłeś dać bardziej konkretny przykład typu wysłanie i odebranie tej zmiennej przez $_GET. To tyczy się pierwszej lekcji, reszty nie oglądałem
6) Ten licznik z lewej strony i to coś pod licznikiem możesz albo wywalić albo gdzieś dać w miejscu mniej widocznym.

Co do samego pomysłu: Jeśli zrobisz to dobrze i rzeczywiście zainteresujesz się PHP i robieniem na ten temat DOBRYCH filmików (nawet sobie grupuj np "Lekcja 1: Zmienne") to ma to jakąś szansę, co do serwera, na początek niech sobie będzie darmowy, ale jeśli chcesz coś większego rozkręcić to sugeruję kupno czegoś lepszego.

Obejrzałem część 3. Chcesz "uczyć" kogoś jak pisać bezpieczne skrypty w PHP tak? A sam nie znasz podstaw...
Jeśli to Ci pomaga (kręcenie filmików) w tym że sam się czegoś uczysz, to ok, ale nie publikowałbym tego pod hasłem "bezpieczne". Pokazujesz innym złe nawyki.

[PHP] pobierz, plaintext 
<? // tu powinno być <?php
 
$zmienna = $_POST['costam']; // POST i innych superglbalnych nie przypisujemy do zmiennych, bo można je łatwo nadpisać, szczególnie w Twoim przykładzie.
 
?>
 
<form method=post > // a gdzie cudzysłowy? nie każdy pisze w html5
 
[PHP] pobierz, plaintext 

Poza tym gdzie sprawdzasz czy formularz został wysłany, czy zmienne istnieją, jakiego są typu? Nigdzie, więc przy bezpieczeństwie to nawet nie leży, bo tą Twoją zmienną łatwo nadpisać.

Naucz się sam bezpiecznie kodować, a później publikuj o tym. Aha no i kodu nie widać na tych filmikach... a to chyba ważniejsze niż pasek windows.

Dzięki za opinie. Teraz ja się wypowiem.

Odnośnie kursu PHP - racja. Może skrypty nie są aż tak bezpieczne, ale działają. Tak samo przy lekcji 4 i 5 - do plików txt. Tam można prościutki XSS wsadzić i cała strona leży bo nie ma żadnej obrony. Ale nie o to mi chodzi. Z biegiem czasu będzie o zabezpieczaniu tych skryptów, bo na razie to są skrypty przeznaczone na jakieś proste wyświetlanie tekstu.

Odnośnie <? a <?php - racja. To nie jest do końca właściwe ale na pewno prostsze i działa.

Przypisanie POST do zmiennej jest najłatwiejszym przykładem wyświetlenia tekstu. Również niebezpieczne - ale działa.

<form method=post> - i tu się zacznie jazda. Oczywiście to przeglądarka odpowiada za ukazywanie treści strony, gdzie cudzysłowie są zbędne. Nie ma sensu pisać coś, co jest nie potrzebne do działania skryptu. Jak widzicie upraszczam skrypty do minimum:

<input type=submit> chociaż poprawnie powinno być:
<input type="submit" value="Wyślij">

Tylko to drugie chochaż poprawne 2 razy dłuższe i trudniejsze.
W następnych poradnikach jeszcze zrobi się coś o funkcjach oraz przejdzie się do tej głównej lekcji czyli praca z bazą danych i wtedy opowiem o tych wszystkich strip_tags i tych innych

Drugie. GRAFIKA. Niestety z grafiki leże bo nie mam kompletnie ani zdolności ani chęci. Dlatego szablon musi już taki zostać

Trzecie: Kod widać ale trzeba ustawić HD rozdzielczośc

Zostawię to bez komentarza

Rozumiem, że cała strona jest napisana w HTML? Proponowałbym użyć PHP, bo jeżeli masz zamiar rozwijać serwis to zaraz się załamiesz gdy np. będziesz coś chciał dodać do menu, chce ci się edytować każdy artykuł?

Jeżeli jesteś "programistą" to można by się pokusić o:
http://validator.w3.org/check?uri=http%3A%...ine&group=0

Wydaje mi się, że można by było zmienić hosting:
http://www.000webhost.com/

Wtedy strona bez reklamy miała by swój "urok":)

No właśnie wiem że pasowało by postawić bazę danych i ładnie to zrobić z PA i kiedyś na pewno się zmuszę i to zrobię. Np: wczoraj się męczyłem z panelem administracyjnym tu:

http://astrouniverse.netii.net/

Jak będzie większy ruch to zrobię to. Mam już bardzo dużo odwiedzin i chyba warto. Ok - zabieram się do roboty. A co najgorsze nienawidzę CMS i dlatego całe to wszystko programuję od podstaw (PA, Bazę, Newsy, Mechanizm strony, itp)

Aha i jeszcze odnośnie kursu PHP - strona jest o bezpieczeństwie, a kurs jest o podstawach. Większość innych kursów również zaczna się niebezpiecznie i podobnie - dlaczego materdefense ma być inny?

To Ty robisz stronę o bezpieczeństwie czy o kodach PHP które działają? Zdecyduj się w końcu, po pokazujesz na swojej stronie bzdury które w ogóle nie powinny ujrzeć światła dziennego.



O ludzie... Za takie coś powinni przecinać kable od netu.



Trudniejsze dla Ciebie? I co ma strip_tags do bazy?

Rób coś porządnie, albo wcale, to co pokazuje to fuszerka, tłumacząc się że kurs jest o podstawach, a strona o bezpieczeństwie. To co jest takiego bezpiecznego w tym co prezentujesz?



Tak, bo z komórki czy innego urządzenia przenośnego, nie mam co robić tylko czekać aż mi się wersja HD zbuforuje. Jakbyś nie mógł robić przybliżenia.

Przecinaj to zostaniesz ty i banda dzieci neostrady którzy grają w jakieś idiotyczne gry. Znasz PHP? Jeśli tak to zapomniałeś jak uczyłeś się PHP? Myślisz że od razu robiłeś strony 100% bezpieczne oparte na szyfrowaniach md1000 która od razu razi prądem wszystkich włamywaczy?

Widziałeś w życiu jakiś kurs PHP? Wpisz sobie w google "Kurs PHP" i zobacz co tam jest. A jak nie to stwórz własny kurs i opowiadaj o nie wiadomo czym, albo zielonego od razu wprowadź w programowanie obiektowe, bo przecież to łatwe co? Dla ciebie... Myślisz że początkujący będzie na zwykłą zmienną $idiota = $_GET["idiota"]; i echo - stosował setki zabezpieczeń, wycinań tagów obrona przed XSS, Zwierzętami, i jeszcze czymś.



Nie mogę przybliżać bo większość ludzi ma internet szybszy niż w PRLu i komputer i bez problemu to oglądnie.

Przecież aby robić bezpieczne strony, trzeba je najpierw umieć w ogóle tworzyć, a ten kurs ma tego nauczyć

O bulwersik?



Gdy ja uczyłem się PHP to Ciebie jeszcze nie było, a już na pewno nie wciskałem innym kitu że potrafię innych czegoś nauczyć. To TY jesteś na etapie nauki i próbujesz nauczać?



Widziałem nie jeden kurs PHP i daleko Ci do nich. Ktoś kto bierze się za PHP, musi mieć świadomość tego co i jak trzeba wykorzystać aby było to dobre, a nie brać pierwsze lepsze... jeszcze mu tak zostanie i jego super serwis wyłoży się na jednym zewnętrznym zapytaniu, bo niby skąd miał wiedzieć że to jest bebe i tak nie można skoro w KURSIE tak było.


Tak, szczególnie na urządzeniach mobilnych. To nie Ty masz decydować o tym co kto używa.



To po co ta gadka o bezpieczeństwie? Skoro kurs tego nie uczy.

!*! dobrze zauważył, tworzenie zabezpieczeń to temat rozległy,a ty na stronie przedstawiasz podstawy programowania.Czyli strona nie została poprawnie nazwana.Ktoś wchodzi na stronę bo chce dowiedzieć się czegoś więcej na temat bezpieczeństwa w skryptach PHP , konfiguracji serwera,czy baz danych,a widzi podstawy tworzenia formularzy.
Po prostu nazwa nieadekwatna do tego co prezentujesz.

!*! nie bądź okrutny,człowiek kreatywny ,coś tam próbuje wyskrobać,stara się ,a ty mu kable chcesz odcinać

Zmień nazwę strony z tematyki bezpieczeństwa na tematykę o podstawach programowania.

Fajnie, że masz chęci, że interesujesz się tym co robisz ale najpierw dojdź do pewnego poziomu by uczyć innych.

Dla początkujących lepsza jest książka niż kurs video.

Strona mi się nie podoba, nie traktuje ona o bezpieczeństwie aplikacji internetowych więc nie za bardzo jest tu co oceniać.

No może macie rację z tematyką. Miało być bardziej o bezpieczeństwie, ale zeszło z wyznaczonego celu. Oczywiście strona nie ma nic wspólnego z programowaniem, a ten kurs PHP to jedynie deser przed treścią.

I jeszcze jedno: Strona skierowana jest dla początkujących, dlatego też napisana jest językiem początkującego używając innych, prostszych jednak często nie właściwych dla zaawansowanych zwrotów, które jednak początkujący rozumie.



Całkiem się z tym nie zgodzę. Sam nie potrafię zdobywać wiedzy z książek i wolę korzystać z kursów wideo dzięki czemu widać "jak to ktoś robi".



Chyba jednak ten kurs PHP pomieszał główny cel strony. Oczywiście chodzi o ogólne bezpieczeństwo korzystania z sieci, komputera, ew. skryptów ale nie potężnych aplikacji internetowych

Tam widziałem o adresach MAC ,Maskowaniu IP itp.Nic o SSL i IPsec, zainteresuj się tym.Budowanie certyfikatów opierając się o OpenSSL też do najłatwiejszych nie należy,a o IPsec mało kto słyszał(zwłaszcza początkujący programiści) a jest równie dobry co SSL jak nie lepszy.To tak mała podpowiedź ,co mógłbyś napisać ,bo ubogo na razie na stronie Twej.



No to do mojego serwisu ,jak i innych już byś się np.nie zalogował.

IMO kursy video nie sprawdzaja sie przy nauce kodowania.

Prosty przyklad - gdy kod jest dluzszy niz 10 linijek (czyli prawie zawsze) - robi sie balagan, bo:
1. Nie mozna latwo wrocic do poprzedniej strony
2. Nie ma spisu tresci
3. Nie mozna przykleic zakladki (ja tak zawsze robie)
4. Nie mozna skopiowac kodu
5. Generlanie kod to znaki ASCII . Po co filmowac znaki? To nie photoshop, czy flash.

Ja jak uczę się czegoś, lubię widzieć jak robi to ktoś inny. Przykładem jest np: nie związane z informatyką ustawianie montażu w teleskopie. Przewaliłem dziesiątki stron o jego ustawianiu i nic, dopiero jak ktoś mi pokazał i znalazłem na internecie wideo-poradnik jak ustawić, od razu wiedziałe,

Nagrywanie znaków - racja ale z komentarzem, z informacją gdzie to, jak to. Myślę że takie wideokursy to bardzo dobry sposób na naukę.

Oczywiście z biegiem czasu będzie dużo tego na stronce. Nie piszę, żeby było dużo tylko piszę to co wydaje mi się bardzo ciekawe i interesujące. Nie piszę trudnych rzeczy, bo to raczej przeznaczone jest dla "zielonych". Jednak może napiszę coś trudniejszego i ciekawszego bo takie proxy, MAC, IP to bardzo pospolite rzeczy

mi sie wydaje że idea jest dobra, bo czemu nie, zawsze sam sie czegoś nauczysz i może ktoś skorzysta

Jeśli chodzi o videotutoriale o np. PHP to zawsze musisz dostarczać kody źródłowe pokazanych przykładów, musisz także dbać o to by odpowiednią ilość czasu spędzać na pokazaniu kodu, to nie jest takie hop nakręcić film i już wiemy co i jak. Z doświadczenia wiem, że czasem lepiej położyć się na kanapie, wziąć książkę i zacząć czytać. Może teraz w dobie smarfonów i tabletów ludzie będą oglądać videotutoriale, nie wiem.

Wiadomo też, że jeśli szukasz jakiś informacji "How to" w PHP to łatwiej jest znaleźć krótki poradnik z listingiem kodu i jest to wygodniejsze niż odpalanie jakiegoś videotutoriala.



Młody jesteś chyba (sądząc po głosie z video), a mi się zdaje, że troszeczkę przechwalasz się tym, że znasz jakieś tam terminy itd. Niestety prawda jest taka, że tym co pokazałeś tu na forum udowodniłeś, że aktualnie jesteś słaby więc na przyszłość życzę troszkę dystansu i pokory.

Na uw-team.org znajdziesz video art'y kogoś kto ma troszkę większe pojęcie o programowaniu (a też robi błędy czasem), jednak to znacznie lepszy kurs jak i pokazanie podstawowych ataków niż u ciebie.

Dużo kursów jest na internecie i to bardzo dobrze. Przynajmniej ludzie będą mieli parę do porównania i więcej się nauczą. Jeśli chodzi o mnie to ja te podstawowe kody mam już dobrze "oklepane" i sądzę że nic mnie to wiele nie nauczy.

A z tymi kodami źródłowymi to racja. Na pewno je dodam. Przy okazji dodam nowe części

Zrób coś z tym stukaniem w klawiaturę, poza tym ustaw sobie podbicie mikrofonu o 20 db bo ledwo cię słychać.

Właśnie też z tym miałem problem ale w 4 części już tego nie ma.

To po co kolejny który uczy złych nawyków?

Lepiej żeby ktoś się nauczył "coś tam pisać" i aby strona mu działała, a nie żeby się zniechęcił przez trudne kody i w ogóle nie pisał.

Ale otwieranie plików w części 4 jest przecież poprawne więc gdzie te "złe nawyki"

?

Poświęciłem te 2:59 aby zobaczyć co tam naskrobałeś i zmartwię Cie. To nie jest poprawne. wystarczy że nadpiszę zmienną z nazwą pliku i już mam nieograniczony dostęp do każdego pliku na serwerze. Sprawdź czym jest basename(), file_get_contents().

Pokazujesz jak "coś tam pisać", ale jakościowo jest marnie i pełno tego typu lewizny w innych kursach, bo głównie są sprzed kilku lat. Powielasz je tylko, nie wprowadzając niczego nowego co dzisiaj jest standardem.

http://astrouniverse.netii.net/

Chyba muszę popracować nad większymi zabezpieczeniami

Proponowałbym zacząć od manuala i kilku artykułów na blogach ludzi co kodują od kilku lat.

No racja, i wpadkę zaliczyłem.

Ostatni post ,zalicza się do trollingu,albo offtopicu.
Śledząc temat ,to dopiero zaczynasz jeżeli poznajesz czym jest sesja.

PS.Zwróć uwagę na flagi httpOnly i secure-bo związane z bezpieczeństwem.
Nie rób drugiego offtopica

Nie rozumiem w ogóle jak możesz pisać o bezpieczeństwie, jeśli kompletnie nic o nim nie wiesz. Jak dla mnie to marna prowokacja. Na stronie którą dałeś do oceny wszystko jest w html, więc odniosę się do tego co zakodowałeś, czyli: http://astrouniverse.netii.net/

wybrane błędy jakie popełniłeś:
- Brak filtrowania rozszerzenia przesyłanego pliku, mogę przesłać plik *.php i go odpalić.
- Przesłany plik ma taką samą nazwę jaka podaliśmy, powinien mieć losowa aby uniknąć nadpisywania.
- Pliki przesyłane są do katalogu głównego. Pomyślałeś co się stanie gdy wyślemy plik o nazwie index.php i zapisze się tam gdzie Twój index?
- Ścieżka do panelu admina http://astrouniverse.netii.net/pa.php, lecz bez hasła możemy wejść tu: http://www.astrouniverse.netii.net/panelad...aszegoforum.php [BYPASS] i cieszymy się panelem w którym jest napisane, że taka długa nazwa aby nikt nie zgadł.
- Hasło do panelu nie jest kodowane.
- Brak sesji.
- W panelu widnieje link do pliku http://www.astrouniverse.netii.net/strukturakatalogowa.html w którym były podane niezakodowane hasła do ftp.

Widać, że wakacje idą i dzieci się nudzą

btw. http://www.astrouniverse.pl/viewtopic.php?...98dc1c80be#1113

Brak filtrowania w przesyłaniu plików .php?

Matko jedyno jestem nienormalny. Dzięki ze zauważyliście to. Szukałem błędu w logowaniu a tu w przesyłaniu jest błąd. Już to naprawiam

Substr - Ty haxorze!



Jakbym miał chwilę to zapytałbym czy się założysz.

Nie!

Czekać, bo zabezpieczam

Nie rozumiem, jak osoba pisząca o bezpieczeństwie mogła popełnić taki błąd? Przecież to jest logiczne, że użytkownikowi nigdy nie można ufać i należy przygotować się na wszystkie możliwości.

Podstawowa metoda ,filtracja danych wejściowych.

Czepiacie się

JA trochę klepie,ale chyba nie odważyłbym się na taki temat strony.Temat tak bardzo rozległy,a tym samym łatwo o potknięcia i kompromitację.

Dla osoby uczącej się ,nie powinna być źródłem odniesienia.

To trochę inaczej miało wyglądać. Wątek miał być o materdefense, a ten hosting był kompletnie niezabezpieczony na ataki. Mamy takich użytkowników, którzy nie mają pojęcia co to HTML i dlatego nie zabezpieczałem go aż tak. Ale widzę że trzeba to zrobić.

To nie hosting, a Twoje skrypty.

W takim razie użyłem gotowego skryptu:

[PHP] pobierz, plaintext 
<?php 
$plik_tmp = $_FILES['plik']['tmp_name']; 
$plik_nazwa = $_FILES['plik']['name']; 
$plik_rozmiar = $_FILES['plik']['size']; 
 
if(is_uploaded_file($plik_tmp)) { 
     move_uploaded_file($plik_tmp, "upload/$plik_nazwa"); 
    echo "Plik: <strong>$plik_nazwa</strong>  
    został przesłany na serwer!<br><br>Link do pliku: <a href="http://www.serwer/upload/$plik_nazwa&quot;;" target="_blank">http://www.serwer/upload/$plik_nazwa";</a> 
} 
?>
[PHP] pobierz, plaintext 

I jak ten kod zmienić aby przechodziły tylko pliki jpg, JPG, png, bmp?
Tutaj dodam że to jest kod pliku upload.php a formularz idzie z pliku index.php

PS: Proszę o szybką odpowiedź bo cały czas ktoś mi przesyła plik .php na serwer a ja usilnie siedzę na FTP i go kasuję

Aż tak ciężko wpisać w Google hasło ;upload zabezpieczenie ?

- http://mijagi.eu/2011/09/zabezpieczenie-skryptu-uploadu/
- http://www.beldzio.com/bezpieczny-upload-plikow

Poza tym nie ten dział.

I Ty piszesz o bezpieczeństwie i innych uczysz php.

Powinieneś to wiedzieć skoro uczysz PHP innych. To są podstawy, podstaw. Myślę że temat można zamknąć, lub przenieść jako "humor".

Jeszcze jedna prośba. Dodałem wszystkie zabezpieczenia (filtrowania, itp) na tą stronkę:
http://astrouniverse.netii.net/

I czy mógł by ktoś sprawdzić czy jest ona bezpieczna. Bo po ostatnich wydarzeniach już sobie nie ufam.

Ma ktoś screena z deface'u?

No i faktycznie,po co ktoś zjechał mu stronę?

Chyba jednak nie wszystkie skoro ktoś Ci pokasował index.

@materkamil: wrzuć gdzieś kod na pastebin, podpowiemy gdzie masz błąd

Co do lekcji 4

Nie otwieramy pliku tylko tworzymy uchwyt/wskaźnik, który później zamykamy.

Poza tym echo nie jest funkcją tak samo jak np. if,switch a konstrukcją języka. I broń boże przy wyświetlaniu zmiennych nie umieszczaj ich w cudzysłowie.

Ja was podziwiam. Wymęczyłem się 2 godziny a tu nagle zaraz - ba. Otwieram a tu bomba
Ale to dobrze.