Witam =)
chcialbym poznac wasze opinie na temat portalu ktory ostatnio wymeczylem
www.flashblog.go.pl
Jest to swego rodzaju polaczenie bloga/portfolio oraz portalu towarzyskiego.
Strona jeszcze troche "rosnie" gdyz dodaje nowe moduly typu PW (skonczone 10 minut temu ) itp.
ale ogolnie jest jusz skonczona.

Z bledow jakie widze i w najblizszym razie mam zamiar naprawic (jak juz mi sie uda i bede wiedzial jak ) to umocowanie flashki bez potrzeby jej aktywacji (klikniecia na nia zeby dzialala, => wymagane pod IE i Opera)

Z bledow o ktorych najpewniej nie mam najmniejszego pojecia...
to sa bledy typu "zabespieczenie portalu"
i tutaj mala prosba,
jakby ktos mogl tak kulturalnie sprawdzic czy nie ma bezczelnie otwartej furtki do zawartosci strony, a jesli tak to jak ja zamknac.
oraz jakis skrypt na backup bazy danych ?^^

Pozdrawiam i zapraszam na portal!
(moze nie tylko do oceny ale i do rejestracji ?)

+-+-+-+-+-+-+-+-+-+

Widze ze probujecie ale... chyba poki co jest ok ?

+-+-+-+-+-+-+-+-+-+

NA chwile wylaczylem portal bo za dobrze sie bawicie
ale jak mozecie... powiedzcie co poprawic ?

Przykładowe linki, bo tego jest cała masa.

SQL Injection:
http://www.tworcy.nazwa.pl/flashblog/index...d=41%20OR%201=1

Rozwiązanie:
addslashes" title="Zobacz w manualu PHP" target="_manual
oraz

[PHP] pobierz, plaintext 
<?php
$id = (int) $_GET['id'];
?>
[PHP] pobierz, plaintext 

XSS:
http://www.tworcy.nazwa.pl/flashblog/index...11&miesiac=

Rozwiązanie:
htmlspecialchars" title="Zobacz w manualu PHP" target="_manual
strip_tags" title="Zobacz w manualu PHP" target="_manual

hmm
addslashes mam dodac odnosnie jakich wartosci ?

i np htmlspecialchars mam gdzieniegdzie, ale nie jestem pewien czy wszedzie...
mam tez funkcje ktora zamienia anaki na inne znaki, ktora jest przypisana chyba wszedzie... i moze wprowadzic zamienianie < i > na po prostu "" czy " "

(zaraz poprawie i sie zobaczy raz jeszcze:D


a wlasnie...
przy kazdym $_GET[] mam dawac jakies strip tags itp ?

string strip_tags ( string $str [, string $allowable_tags]
Czyli tam gdzie GET to string.

a czy funkcja

$tekst = ereg_replace (">", "" , $tekst);
$tekst = ereg_replace ("<", "" , $tekst);
$tekst = ereg_replace ("&lt;", "" , $tekst);
$tekst = ereg_replace ("&gt;", "" , $tekst);

wystarczy ?

bo jak dodalem do funkcji kodujacej, to przesaly wyskakiwac alerty...

Zajrzałeś w ogóle do manuala?

http://www.tworcy.nazwa.pl/flashblog/logowanie/logowanie.txt
Zabezpiecz te pliki .htaccess'em (deny from all), żeby nie było bezpośredniego dostępu, a jedynie poprzez skrypt.

W tym pliku txt masz nawet funkcję dla MySQL'a, która działa dokładnie tak samo jak addslashes.
Zamienia ' na \', więc czemu z niej nie korzystasz?

[PHP] pobierz, plaintext 
<?php
function usun($data){
 
	GLOBAL $dbc;
	if (ini_get('magic_quotes_gpc')){
		$data = stripslashes($data);
	}
	return mysql_real_escape_string($data, $dbc);
}
?>
[PHP] pobierz, plaintext 

Zamiast

[PHP] pobierz, plaintext 
<?php
$tekst = ereg_replace (">", "" , $tekst);
$tekst = ereg_replace ("<", "" , $tekst);
$tekst = ereg_replace ("<", "" , $tekst);
$tekst = ereg_replace (">", "" , $tekst);
?>
[PHP] pobierz, plaintext 

możesz dać po prostu htmlspecialchars($tekst). Ciąg znaków zamieni się na encje.

Przykład z manuala:

[PHP] pobierz, plaintext 
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>
[PHP] pobierz, plaintext 

Możesz również użyc funkcji strip_tags" title="Zobacz w manualu PHP" target="_manual, która obcina wszystkie tagi ze stringa.

W obu przypadkach nie będzie możliwości dodania HTML'a czy tez JS'a.

chyba moj blad w tym ze znaki zamienialem przy wysylaniu a nie odbieraniu
juz poprawiam =)
a tak pozatym pytanie... czy od strony przegladarki da sie cos zmienic wanych, np innych uzytkownikow ? dostac sie do bazy ? zmienic pliki na serwerze ?

a ten plik .htacces mi zabrania calkowicie dostep
jak np daje w folderze z emotkami, to mi nie pobiera ich przy ogladaniu strony =P
i co z tym fantem zrobic ?

a tak w ogole to wieeelkie dzieki =D
bo teraz to az strach myslec co by bylo gdyby ktos inny wlazl i zaczal szalec

Oops, da się. Niechcący zmieniłem Ci login i inne takie.

Masz taki plik
http://www.tworcy.nazwa.pl/flashblog/edytu...krypt.php?id=10

i pewnie zapytanie..

[PHP] pobierz, plaintext 
<?php
UPDATE fg_uzytkownicy SET asd1 = $_POST['cos'], itd... WHERE id_uzytkownika = $_GET['id']
?>
[PHP] pobierz, plaintext 

..a powinnienes rozpoznawać użytkowników na podstawie sesji. Dlatego wcześniej przy poprawnym logowaniu zapisz sobie w sesji id_uzytkownika i potem w edytuj_uzytkownika_skrypt.php zapytanie:

[PHP] pobierz, plaintext 
<?php
UPDATE fg_uzytkownicy SET asd1 = $_POST['cos'], itd... WHERE id_uzytkownika = $_SESSION['id_uzytkownika']
?>
[PHP] pobierz, plaintext 

ups
juz poprawione...
bo wiekszosc strony byla pisana jak nie mialem pojecia czym jest sesja =P
cale zycie przejechalem na AS a teraz od tygodnia ucze sie php =)

a juz wiem... bo skrypt jest w innym pliku ktory nie jest zinkludowany do strony zaraz to naprawie




A teraz druga czesc mojego pytania:D
jaka jest wasza opinia na temat portalu ? grafika/funckjonalnosc, mozliwosci ?
pomysl ?
licze na solidna krytyke ]:->

Ciemno, szaro i ponuro.
Na pierwszy rzut oka nie wiadomo co jest czym.

Klikam po jakiś wypływających do przodu obrazkach i za cholerę nie mam pojęcia:
a. czyjego bloga w końcu czytam (oglądam?)
b. czy klikam w "notkę", avatar czy jeszcze coś innego
c. po kilkunastu sekundach mam ochotę zabić za nadmiar dwukropków doklejanych praktycznie przy każdym nagłówku.

To tak po pierwszych 10 sekundach. Ogólnie całe usability leży i kwiczy.

strona bogata w tresc ale grafika troche slabo

to jest jakis error aliasu pod Opera.. nie mam pojecia skad on ale ten link dziala poprawnie http://www.tworcy.nazwa.pl/flashblog/
coz.. ze szaro i ponuro to oczywiscie celowo, zreszta tak samo jak digart czy deviant art
glownie po to by nie odciagac uwagi od zawartosci (przepych grafiki tutaj jest niewskazany)

a co do tego gdzie sie jest i klika ... wybaczcie za stwierdzenie ale to troche dziwne jak ktos nie wie gdzie kliknac, skoro wszystko jest popodpisywane
z lewej 2 kolumny po kolei "uzytkownik / notka " z prawej "uzytkownik / komentarz"

co jak co ale wydaje mi sie ze obsluga jest latwa jak budowa cepa...
tym bardziej ze moja dziewczyna sie potrafila bez problemu po nim poruszyc co jest sukcesem wielkim

Bez komentarza.
---

jeśli nie masz nic konstruktywnego do powiedzenia (bo to co tu napisałeś za takie uznać nie można) lepiej nie pisz nic
revyag

Ogólna ocena - 6/10

Jak dla mnie to za bardzo ciemno. Tekst się ciężko czyta.
index.php?id=10&notka=176 - wogóle nie pasuje

Wyrużnij jakoś co drugi komentarz, że jest np. ciemniejszy.
W rejestracji input'y są za durze. Spokojnie wystarczy font-size na 12 a tu jest bodajże 14 czy 15. Przyczik "wyślij" jest jakiś obskurny. Psuje klimat strony.

Płeć dałbym w jednej linii.

W kategoriach systemu gdzie użytkownik nie ma wejść bez odpowiedniego linka pododawaj index aby użytkownik nie widział co znajduje się w folderze. Tak np. w foto itp. W adminie poprostu musisz dodać plik index. Jest to jakiś rodzaj zabezpieczenia, marny ale jest.
Ogólnie spox.

Bardzo podoba mi się, ze wszystko trzymasz w index.php Bardzo ładne posunięcie.