| Autor | Zpráva | ||
|---|---|---|---|
| Josef Burger Profil * |
#1 · Zasláno: 25. 5. 2011, 16:53:24
Ahoj,
chtěl bych znát názor na můj vlastní redakční systém. Systém lze nainstalovat na localhost. Pokud by se Vám nechtělo instalovat systém, najdete obrázky ve volně přístupné galerii na Facebooku. Adresa: mycms.jobu.cz Děkuji za Vaše reakce a podněty ke zlepšení. |
||
| Beavis Profil |
#2 · Zasláno: 25. 5. 2011, 17:25:17
Uričtě bych někam umístil funkční ukázku, obrázky toho moc neřeknou.
|
||
| Josef Burger Profil * |
#3 · Zasláno: 25. 5. 2011, 17:29:02
funkční ukázka je hezká věc, ale ta nelze provést. Pokud by bylo na jeden účet přihlášeno více lidí, stále by je to odhlašovalo
|
||
| __construct Profil |
#4 · Zasláno: 25. 5. 2011, 17:41:40
Josef Burger:
„podněty ke zlepšení“ Tu máš prvý podnet k zlepšeniu — to by mal zvládnuť aj ten najjednoduchší redakčný systém: „Pokud by bylo na jeden účet přihlášeno více lidí, stále by je to odhlašovalo“ |
||
| Josef Burger Profil * |
#5 · Zasláno: 25. 5. 2011, 17:43:40
__construct:
ochrana uživatele a systému před nežádoucími přístupy ti nic neříká?? (též je zde využita ochrana proti podstrčení SESSION) |
||
| __construct Profil |
#6 · Zasláno: 25. 5. 2011, 17:52:59
Josef Burger:
„ochrana uživatele a systému před nežádoucími přístupy ti nic neříká??“ Aké nežiaduce prístupy? Chceš mi povedať, že pokiaľ bude Tvoj klient prihlásený cez svoj počítač a bude sa chcieť pripojiť za hodinu cez počítač v práci, tak mu to vynadá, že sa mal najprv doma odhlásiť? |
||
| Josef Burger Profil * |
#7 · Zasláno: 25. 5. 2011, 18:06:27
NE ale jednoduše, klient se přihlásí, přijde k jinému počítači a přihlásí se znovu. Přijde-li zpět k prvnímu musí se znovu přihlásit, je automaticky odhlášen
Je to tak jednoduchý, ale nechápu proč se většina lidí zaobírá tak jednoduchými banalitami. Chtěl jsem vědět názor na systém a možné nápady na vylepšení od tebe ( __construct) sem se akorát dozvěděl, že neznáš možnost zabezpečení proti podstrčení SESSION |
||
| Kubas Profil * |
#8 · Zasláno: 25. 5. 2011, 18:09:00
mě se ten cms hodně líbí, a zabránit tomu aby se přihlásilo více lidí je dobrá funkce
|
||
| radas Profil * |
#9 · Zasláno: 25. 5. 2011, 18:13:40
Josef Burger:
podstrčení možna, ale co tak ještě sebou "tahat" v session nějaky "token" a klidně by pak mohlo byt přihlašeno vice lidi na jeden učet a nedalo by se to podstrčit, protože token si můžeš uložit třeba i do db.. |
||
| Krakatoa Profil |
#10 · Zasláno: 25. 5. 2011, 18:14:40
Josef Burger:
Toto je co se týče instalace: - Při prvním spuštění na mě vybafně okno "Selhání systému. Na serveru se nenachází soubor config.php ..." (je nutné přepnout do /install), něco se tedy ověřuje, není lepší ověřit i jestli je myCMS už nainstalovaný a pokud ne, přepnout ho na instalaci a pokud ano přepnout ho na uvodní stránku s tím, že se ověří, jestli je /install smazaný? - nevyplnil jsem email, na samotné stránce by se hodilo upozornit, že email není vyplněný - proč u přihlašování do systému přednastaven user root? Jsem se docela lekl. |
||
| Josef Burger Profil * |
#11 · Zasláno: 25. 5. 2011, 18:15:12
radas:
ano token je přenášen v SESSION, token se vytváří při přihlášením uživatele a ukládá se do DB :-) |
||
| Josef Burger Profil * |
#12 · Zasláno: 25. 5. 2011, 18:18:45
Krakatoa:
k tý instalaci, pokud by se to samo přepnulo do instalačního módu, není systém bezpečný. Kdokoliv, kdo vstoupí na stránky, bude moci instalovat znovu :-D .. jedná se tedy též o ochranu. Hláška, že chybí konfigurační soubor je správná. Pokud by to zahlásilo, že systém není nainstalovaný, lze jej zase jednoduše nainstalovat! proč u přihlašování do systému přednastaven user root? Jsem se docela lekl. - nepochopil jsem otázku |
||
| Krakatoa Profil |
#13 · Zasláno: 25. 5. 2011, 18:32:25
Josef Burger:
...mycms/?pg=login <form action="./?pg=login" method="post">
<table border="0">
<tbody><tr><th>Login: </th><td><input name="user" value="root" type="text"></td></tr>
<tr><th>Heslo: </th><td><input name="pass" value="" type="password"></td></tr>
<tr><td colspan="2"><input value=" Přihlásit " class="btn_login" type="submit"><input name="login_url" value="http://localhost/mycms/" type="hidden"></td></tr>
</tbody></table>Je tam přednastaven user root. Nebo to mi to tam doplnil firefox? root mám jako usera do mysql, jinak k ničemu jinýmu. A i s ničím jiným si ho nespojuju, jako usera (jako admina) do CMS se snad používá admin nebo tak něco. k tý instalaci, pokud by se to samo přepnulo do instalačního módu, není systém bezpečný. Kdokoliv, kdo vstoupí na stránky, bude moci instalovat znovu :-D .. jedná se tedy též o ochranu. Hláška, že chybí konfigurační soubor je správná. Pokud by to zahlásilo, že systém není nainstalovaný, lze jej zase jednoduše nainstalovat! A jaký je v tom rozdíl? Jakože když zadám /install nebo když se to tam přepne samo, je snad úplně šuma fuk, ne? Navíc když se to tam bude přepínat automaticky, musí to být jen jedna určitá složka, ne jakákoliv. |
||
| Josef Burger Profil * |
#14 · Zasláno: 25. 5. 2011, 18:37:07
Krakatoa
žádnej uživatel root tam neni, všude je admin jinak rozdíl v tom je, pokud někde uvidim hlášku, že systém neni nainstalovanej tak hned jdu tam dát /install ale pokud je tam že chybí soubor ten a ten, mnoho lidí to nenapadne :-) |
||
| __construct Profil |
#15 · Zasláno: 25. 5. 2011, 19:00:09 · Upravil/a: __construct
Josef Burger:
„od tebe ( __construct) sem se akorát dozvěděl, že neznáš možnost zabezpečení proti podstrčení SESSION“ Poznám, ale to sa rieši trochu inak ako to robíš Ty — na session sa vytvorí samostatná tabuľka a neupdatuje sa tabuľka so zoznamom užívateľov. Potom bude ten Tvoj problém odstránený. Namiesto toho aby si sa tu navážal do iných by si si mohol naštudovať, čo je to CSFR, solený hash a iné.
|
||
| Josef Burger Profil * |
#16 · Zasláno: 25. 5. 2011, 19:02:20
__construct:
ale já sem to chtěl takto zabezpečit, takže se nenavážej ty do mně ;-) |
||
| Josef Burger Profil * |
#17 · Zasláno: 25. 5. 2011, 19:03:02
__construct:
navíc takto znělo i zadání práce :-) |
||
| Krakatoa Profil |
#18 · Zasláno: 25. 5. 2011, 19:08:25
Josef Burger:
První věc v instalaci je zadání přihlašovacích údajů do databáze, dál nikdo neprojde, pokud je neví. Ptám se znova, v čem je to tedy bezpečnější? Pokud zadá někdo /install ručně nebo jestli ho to tam přehodí automaticky, jediné co může dělat je si hrát s formulářem. |
||
| Josef Burger Profil * |
#19 · Zasláno: 25. 5. 2011, 19:11:48
a když zadá svoje :-) .... tak má správu webu komplet pod kontrolou
|
||
| Krakatoa Profil |
#20 · Zasláno: 25. 5. 2011, 19:14:08
Josef Burger:
Jaké svoje? Chceš mi říct, že všude jsou do mysql stejné přístupové údaje? :-D |
||
| Josef Burger Profil * |
#21 · Zasláno: 25. 5. 2011, 19:18:10
Krakatoa:
asi si nerozumíme :-) ... jako svoje údaje. Jako svoji DB |
||
| Krakatoa Profil |
#22 · Zasláno: 25. 5. 2011, 19:34:08
Josef Burger:
To, že si nerozumíme, ale není moji vinou :-( Má otázka zněla: "- Při prvním spuštění na mě vybafně okno "Selhání systému. Na serveru se nenachází soubor config.php ..." (je nutné přepnout do /install), něco se tedy ověřuje, není lepší ověřit i jestli je myCMS už nainstalovaný a pokud ne, přepnout ho na instalaci a pokud ano přepnout ho na uvodní stránku s tím, že se ověří, jestli je /install smazaný? " Pokud není na serveru config.php (nebo-li pokud neproběhla instalace, lze ověřit i jinak), proč se sám index.php nepřepně na /install, pokud tam ta složka je? Proč? Bezpečnější to není, je to bezpečné úplně stejně. |
||
| Josef Burger Profil * |
#23 · Zasláno: 25. 5. 2011, 19:49:03
a jak poznám, že systém není nainstalovaný??
|
||
| Krakatoa Profil |
#24 · Zasláno: 25. 5. 2011, 19:55:48
Josef Burger:
Pokud tam není config.php a pokud tam je složka /install Což je myslím výchozí stav, když nakopíruju soubory na web. Aspoň v tomto případě bych očekával, že budu přesměrován do složky /install |
||
| Josef Burger Profil * |
#25 · Zasláno: 25. 5. 2011, 20:04:10
config tam bejt nemusí, a systém může bejt už nainstalovanej. Pouze se čeká na uživatele až ho vytvoří. (Tento stav nastane, když není povolen zápis souborů na server)
|
||
| Stano Profil |
#26 · Zasláno: 25. 5. 2011, 21:08:41 · Upravil/a: Stano
Josef Burger:
nepáči: 1.) Čeština priamo v kóde. Jazyková mutácia je tým pádom dosť náročná. 2.) Neoddelené php a html. Nemusí byť úplné, ale trocha väčšia variabilita by bola vhodná priamo cez templates, jeden súbor mi príde dosť málo. 3.) Prístup do MYSQL vždy cez mysql_query($sql); a spol. Hodila by sa trieda alebo aspoň funkcie. 4.) function prof_edit($avatar_src, $username, $public_name, $mail, $get_m, $group_name, $con1, $con2, $con3, $webpage, $avatar, $reg_d, $reg_t, $last_d, $last_t, $count, $note, $err = '')
function prof_edit($array'){
$default = array('avatar_src' => "default_avatar.jpg", 'username' => "", 'public_name' => "",.......);
extract($defaul);
extract($array);
.
.
.
}5.) Veľa ľudom sa install nechce mazať a preto je to dobre to napísať tak aby sa kód po úspešnom nainštalovaní už nedal viac krát spustiť. 6.) Jquery, Lightbox medzi modulmi... keď tie moduly odinštalujem tak mi prestane fungovať časť administrácie? 7.) prvý krok inštalácie by som preskočil a overil to automaticky. (<br><br><br>.....<br> nič moc) 8.) heslo ktoré má 6 a menej znakov skladajúce sa z a-zA-Z0-9 už niesu bezpečné. obmedzenie na 15 znakov z hora mi príde zbytočné md5 spracuje ľubovolne dlhý reťazec (tuším sme sa tu o tom pred časom bavili). takže minimálna dĺžka hesla by mala byť 7 a nie 5 znakov 9.) VALUES ('', 'Administrátoři', '11111111111111111111111111111111111111111111111111', '1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111', - takýto zápis je trocha neprehľadný. ide o práva k činnostiam. 10.) chýbajú mi funkcie add_option(), update_option(), get_option(), delete_option() nechce sa mi to už ďalej prechádzať. celkom fajn robota ale roboty tam je ešte habadej. za najväčšie zápory pokladám neexistujúce triedy na prístup k DB, neexistujúce základné funkcie k rôznym činnostiam. No nič idem sa ďalej učiť. |
||
| Krakatoa Profil |
#27 · Zasláno: 25. 5. 2011, 21:16:08 · Upravil/a: Krakatoa
Josef Burger:
Upravovat atributy se dají z PHP, ne? Vytvářet se dají z php soubory a složky, ne? A nedá se dokonce z php složka i smazat? Fain, nech to tak, jak to je, co se týče mě, udělal bych to jinak. Howgh. |
||
| Josef Burger Profil * |
#28 · Zasláno: 25. 5. 2011, 21:35:21
Stano:
jak to myslíš s tim add_option(), get_option(), atd?? |
||
| Stano Profil |
#29 · Zasláno: 25. 5. 2011, 21:48:43
Josef Burger:
napríklad chcem dopísať nový modul do tvojho RS. modul bude robiť tri veci A, B, C. a ja chcem dať užívateľom na výber, ktoré z troch funkcií chcú mať zapnuté. Nato potrebujem vytvoriť v MYSQL nové settings. ale ani náhodou sa mi nechce ísť do phpmyadmin a vytvoriť tam nový riadok atd. tak len na zaciatok mojho pluginu dám add_option('moj_plugin_A', true);
add_option('moj_plugin_B', true);
add_option('moj_plugin_C', true);a potom už len zisťujem: if(get_option(moj_plugin_A){vykonaj A}ak to chcem zmeniť tak: update_option('moj_plugin_A', false);je tu problém aby sa pri každom spustení stránky nepridal nový option resp neprepísal preto je dobré mať daku funkciu ktorú dám do mojho pluginu ktorá sa spustí len pri activovaní/deactivovaní pluginu function moj_plugin_activation(){add_option.....;...;.....;)ďalšia super vec je umožniť ukladať do option polia takže namiesto troch option A B C mi stačí jeden add_option('moj_plugin_settings', array('A' => true, 'B' => true, 'C' => true));takéto veci uľahčia programovanie tebe a aj ľuďom čo stým chcú pracovať. a mali by sa robiť na začiatku nech na tom je postavený už celý system. |
||
| Josef Burger Profil * |
#30 · Zasláno: 25. 5. 2011, 22:12:20
Stano
díky, takhle nějak jsem si představoval nápady na možné vylepšení |
||
|
Téma pokračuje na další straně.
|
|||
0