Witajcie.

Chciałbym poddać ocenie mój system ogłoszeń (tak to sobie wymyśliłem, ale mogą to być równie dobrze newsy itd). Treść można dodawać na razie w dwóch formach: tekstowej i graficznej. Tag [www] gdyż na razie nie udostępniam kodu (a tak zrozumiałem warunek na ocenę "skryptu"). O strukturze mogę powiedzieć tyle, że jest to bardzo prosty MVC. Wszystko (jeżeli chodzi o PHP) zostało napisane od zera.

Głównie zależy mi na ocenie bezpieczeństwa i funkcjonalności, więc próbujcie coś zepsuć i jeśli się uda to dajcie znać! To dla mnie bardzo ważne.
Graficznie nie ma za bardzo czego oceniać, ale każda uwaga i sugestia mile widziana. Z założenia nie ma być to cały serwis, a tylko wydzielona część, którą można zaimplementować w istniejącym już serwisie.


===> Adres: http://pbazyl.webd.pl/ogloszenia


ps. Opcja usuń została wyłączona, żeby było co oglądać. Co jakiś czas będę przywracał bazę do oryginalnego stanu.
ps2. Kwiatki z walidatora takie jak id zamiast class w divach i inne zostaną w najbliższym czasie usunięte. Wiem, że są

Jak wejdziesz w dodawanie ogłoszenia i adresie:
http://pbazyl.webd.pl/ogloszenia/index.php...mp;type=picture
zmienisz type na inne, to pojawia się biała strona.

A tak, to co tu oceniać? Kilka selectów, insertów i updateów.

Plusik za białą stronę.



Głównie zależy mi na zabezpieczeniu przed atakami, szczególnie narażony tutaj jest formularz. Ale w kwestii bezpieczeństwa dopiero zaczynam i o niektórych atakach pewnie nawet nie mam pojęcia.

Jak będzie gotowy to udostępnię kod i wcale nie będzie to parę selectów instertów i updateów na krzyż

W kwestii zabezpieczeń polecam nieudostępnianie kasowania wszystkich treści innym użytkownikom.

Wiadoma sprawa. W połączeniu z systemem użytkowników opcje edytuj i usuń z założenia będą dostępne tylko dla autora konkretnego wpisu. Pełna kontrola dla admina.

http://pbazyl.webd.pl/ogloszenia/index.php...ion=__construct

Super, dzięki Nie wpadło mi to do głowy. Przy okazji zauważyłem rozjeżdżanie się tabelki, gdy treść opisu jest zbyt krótka. Ale to drobiazg.

A to Ci psikus http://pbazyl.webd.pl/ogloszenia/index.php...ow_ad&id=18

Waliduj długość dopiero po wycięciu html tagów, bez spacji itd.

Co z tym komunikatem o braku ogłoszenia o ID=x ? Z założenia tak miało być Przy wpisaniu losowego stringu jako akcję, też wyświetlam odpowiedni komunikat. To źle ?

Po prostu ktoś je usunął, wpisałem 20 spacji w każdym polu i przeszło walidację, a nie powinno.

póki znów ktoś nie usunie: http://pbazyl.webd.pl/ogloszenia/index.php...ow_ad&id=21

Znowu trafiony zatopiony, spacje... Niestety nie mam w głowie szybkiego rozwiązania dla tego problemu, muszę coś pogrzebać w googlach. Samo trim() może być za mało. Na same spacje zadziała, ale na "s (50 spacji) s" już nie


edit: preg_replace

=============================================


Ok, naniosłem kilka bardzo istotnych poprawek oraz dodałem trochę magii CSS3
Proszę o dalsze oceny i wytykanie ew. błędów, za każdy lecą plusiki

http://pbazyl.webd.pl/ogloszenia

Używasz PostgreSQL?

3 połączenia z bazą przy prostej liście? Poza tym zabezpiecz to jakoś, bo wysyłając ogłoszenie w połączeniu z F5, robi się syf. Tak samo jest możliwość użycia html/css.

Nie, MySQL. Dlaczego?



3 zapytania No tak na razie to wygląda, jedno zapytanie wybiera dane ogłoszeń z różnych tabel, jedno pobiera listę dostępnych kategorii, a jedno szybkie pobiera liczbę wszystkich ogłoszeń, wykorzystywaną do stronicowania/paginacji. Nad tym ostatnim jeszcze będę mocno myślał.


Dzięki za zwrócenie uwagi na F5 i CSS. Tylko nie wiem czy po prostu wyrzucać "style=xxxxxx" przy użyciu preg_replace, czy zastosować jakąś ogólniejszą metodę. Myślałem, że strip_tags() zrobi robotę

p.s. OK, do wieczora możliwość dodawania nowego wpisu wyłączona