Autor Zpráva
Dandys2012
Profil *
Ještě to není uplně dokončený, ale struktura a design webu je finální. Proto mě zajímá názor na design a orientaci.

Je to tady samej kitik, což se mi líbí. Pomůžete mi udělat lepší web.

Díky.

http://aeropeople.cz
lukigod
Profil
já tedy nejsem žádný grafik, ale mně se zdá pěkných tak prvních 200pixelů seshora. Navíc text v tlačítkách není uprostřed a kontakty by asi taky mohly být v tlačítku. Dál mi přijde web takový jako šedivý = starý :o)
toplist pryč, aeronews má brutální rámeček.
Na první pohled nevím o čem web je: je tam nějaký katalog, to je jasný, ale pak nějací uživatelé, články... a patička nikde.
Co se stane, když se registruju? Chybí klikací logo. A možná tlačítko profily bych zpřístupnil až po zalogování.
Chtělo by to trochu kontrastu.. Ale nebudu rejpat, sám nemám co říkat :o))
Dandys2012
Profil *
Jen rejpej. Názor ostatních se hodí. takže díky.
vynalezce
Profil
No nevím, jestli je ta ochrana registrace účinná pokud se na ni někdo zameří nemá problém ji obejít do pole kontrolni1 napíšeš co chceš (zde 999) a do pole kontrolni2 123999321.

Include na http://aeropeople.cz/index.php?aero= je špatně ošetřen, alespoň, že je v safe modu.

XSS:
http://aeropeople.cz/index.php?aero=profily&ae=profil&pr=11050013">
ty máš ale štěstí (ale stejně to oprav):
http://aeropeople.cz/index.php?aero=profily&ae=profil&pr=11050013%22%3E%3Cscript%3Ealert%281%29%3C/script%3E
Dandys2012
Profil *
Na ochranu sem se nezaměřil vůbec, to je pro mě tabu, ikdyž sem si vědom, že je potřeba a chystal sem se to prostudovat až bude všechno hotový. Bohužel nejsem profík.

Kdybys mi poradil co a jak, byl bych ti vděčnej !

Třeba absolutně nerozumim, co myslíš timhle:

XSS:
http://aeropeople.cz/index.php?aero=profily&ae=profil&pr=11050013">;
ty máš ale štěstí (ale stejně to oprav):
http://aeropeople.cz/index.php?aero=profily&ae=profil&pr=11050013%22%3E%3Cscript%3Ealert%281%29%3C/script%3E
vynalezce
Profil
XSS:
http://cs.wikipedia.org/wiki/Cross-site_scripting
proti XSS se lze bránit funkcí
<?
htmlspecialchars()
?>

Na ten 1. odkaz vlez jako přihlášený - "vylezl" jsem z inputu - vložil jsem do něj hodnotu "> - tím jsem ho uzavřel takže to v kódu vypadá takto:
<input type="text" value="">">

Ten druhej odkaz už se pokouší spustit Java Script (jenom alert), ale firewall to odhalil a zablokoval - to je to štěstí.
Dandys2012
Profil *
Díky.. začínam do toho aspoň trošku vidět. Ještě, že se mi o bezpečnost stará hosting.
Kdyby ses nudil, můžeš mi zkusit najít další možnosti, jak napadnout tenhle web.
vynalezce
Profil
Warning: strftime() expects parameter 2 to be long, string given in D:\WWW\PES\aeronewscz\www\profily\dprofil.php on line 15

http://aeropeople.cz/index.php?aero=profily&ae=profil&pr=11050010

XSS v názvu alba a na fóru

chyba ve správě oprávnění - mohu si číst cizí poštu
http://aeropeople.cz/index.php?aero=profily&ae=vzkazy&komuid=11050014&komu=aaaaaa&konkretni=307&odes=1

http://aeropeople.cz/index.php?aero=letadla&skupina=&plane=atr42a neošetřený include
Dandys2012
Profil *
Ok. Díky..

Warning: strftime() expects parameter 2 to be long, string given in D:\WWW\PES\aeronewscz\www\profily\dprofil.php on line 15
- uživatel byl naposled přihlášen, když ještě nebylo poslední přihlášení ve skriptu, takže údaj v databázy je prázdnej

Oprávnění ve vzkazech sem ošetřil, to byla závažná chyba, takže díky !

Include ošetřim všechny.. pokud teda stačí použít if (file_exists .... ) ?? Stačí to ??
mckay
Profil
Dandys2012:
Je to dost chudé.

Konstrukce "Vzkazy ... Nastavení ... Uživatelé ... Fotky ... Přátelé ... Body ... Statistiky ..." se mi moc nezamlouvá, ty tři tečky nic moc.

http://aeropeople.cz/clanky/forum_zapsani.php?aero=clanky&ae=20100105_01b&jmeno=asdasd&zprava=sdasda+%3Cscript%3Ejavascript%3A+window.location.href%3D%22http%3A%2F%2F%0D%0Amckay.php5.cz%22%3C%2Fscript%3E

Tohle je chybová hláška o odeslání nebezpečné zprávy? Divná.

Možná bych tam uvítal podtrhané odkazy.
Dandys2012
Profil *
Mickey: Díky.
Dandys2012
Profil *
Ještě nějaké názory prosím..
imploder
Profil
Dandys2012:
Je rozhozená diakritika, FF 3.5 charset=utf8_czech_ci nebere.
Dandys2012
Profil *
imloder: a jaký je řešení prosimtě?
imploder
Profil
Dandys2012:
jaký je řešení prosimtě?
Obyčejně charset=utf-8. Czech_ci je jenom pro databází - znamená to, že se má použít české řazení (collation). Do HTML nepatří.
Dandys2012
Profil *
Dobře, díky. Změnim to. Určitě je tam plno co měnit, tak vítam každou další radu.
pek
Profil
1) Hlavička je povedená - hlavně to letadlo.
2) Ta čeština pořád zlobí :^)
3) <title>Nadpis stránky</title> by se mohl měnit podle toho co na stránce je.
Dandys2012
Profil *
Hmmm.. něco pozitivního konečně, díky.

Do písma sem se ještě nepustil, dneska to snad udělam.

S titulkem stránky máš pravdu, udělam to. Díky !
Dandys2012
Profil *
Ještě nějaký názory na grafiku prosím..
Dandys2012
Profil *
Tak ještě někdo prosím..
Jonáš
Profil *
S grafikou nevím, ale určitě bych opravil tu češtinu - [#15]
Dandys2012
Profil *
Nějaké další názory prosím?
Dranel
Profil
Dandys2012:
Není už připomínek dost? Co takhle je zpracovat (jestli už to je, tak promiň, nemůžu se na tvůj web dostat - hlásí se jako nedostupný)? ;-)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0