| Autor | Zpráva | ||
|---|---|---|---|
| Rellik Profil |
#1 · Zasláno: 17. 7. 2011, 20:24:36 · Upravil/a: Rellik
Zdravím vespolek,
byl by někdo z vás ochotný seriózně vyzkoušet funkci mého nově připravovaného e-shopu? 1/ fuknčnost a zobrazení v IE (nemůžu vyzkoušet v LINUXU takové šílenosti nemám) 2/ možnost napadení (pokud to půjde prosím nic neměnit) 3/ rada s grafikou (logo půjde rozdělit a nápis Photo Shop se posune doleva) 4/ vyhledávání není moc podle mých představ - rada jak ho vylepšit 5/ Co ještě přidat pro zjednodušení nakupování (nemyslím stránky obchodních podmínek, kontakt, způsob nákupu... - to mám v plánu dodělat) myslím pouze co se nákupu týče odkaz: http://firstpage.profitux.cz/fotoshop/ Díky za rady... |
||
| shaggy Profil |
#2 · Zasláno: 17. 7. 2011, 21:56:38
Rellik:
- Ja moc na bezpečnosť nie som, ale toto mi nepríde moc bezpečné. - O grafike v tomto prípade by som nehovoril (ak to porovnám s iným e-shopmi, tak to nie je konkurencieschopné). - Namiesto registrácie je tam Vytvoriť ID zákazníka? To pochopí určite každý človek. A tiež nechápem, prečo po kliknutí na ten odkaz sa automaticky vytvorí nové ID, "prihlási" ma a nakupujem pod týmto ID. Môžem ho potom meniť? Môžem sa k nemu nejak vrátiť? - Pätička ti prekrýva obsah (na menších rozlíšeniach) - Pri objednávke a nevyplnených poliach na mňa vyskočia dva škaredé alerty. Prečo ich je tak veľa? A prečo ten text dávaš písať deťom? Máš pocit, že toto: !!!Zapomněli jste vyplnit jméno!!! vyzerá seriózne? - Ty tam nemáš inú ako javascriptovú kontrolu? Vypol som si javascript a dostal som sa na ďalší krok aj bez vyplnených údajov. |
||
| Rellik Profil |
#3 · Zasláno: 17. 7. 2011, 22:08:06
shaggy Díky za ukázku alertu. Dokončení objednávky není hotové a neprošlo korekturou. Ty alert hlášky tam nebudou - bude kontrola přes php.
Grafika taky není kompletní - konkurence schopné to být nemusí - bude to sloužit pouze jako pří-výdělek (pokud to teda vůbec bude sloužit). O patičce vím, na localu to mám udělané trochu jinak. Chtěl sem právě ten test funkčnosti a bezpečnosti, abych mohl pokračovat... :) |
||
| zatomik Profil |
#4 · Zasláno: 19. 7. 2011, 13:23:26
Zběžně jsem na to koukl a když vytvoříš to ID zákazníka tak ho uložíš do cookie, ale tu cookie asi nijak nekontroluješ, dovolila mi do stránky vložit jakýkoliv HTML kód. A když dokončím objednávku tak to ulkádáš někam do DB? Pokud to ani tam nekontroluješ na speciální znaky, mohl by ti někdo smáznout celou DB.
|
||
| Rellik Profil |
#5 · Zasláno: 19. 7. 2011, 15:21:13 · Upravil/a: Rellik
zatomik:
„cookie asi nijak nekontroluješ,, dovolila mi do stránky vložit jakýkoliv HTML kód.“ Jo tak to mě nenapadlo. Jinak jak si tam dostal jakýkoliv HTML kód?? Ona se podle toho ID vytvoří tabulka v databázi, do které se pak ukládají a podle potřeby zákazníka mění koupené položky a po odeslání objednávky se info o zákazníku vloží do té samé tabulky nakonec. V administraci pak mám všechny objednávky vypsané a stačí pouze vytisknout fakturu (rozložení stránky je tomu uspůsobeno) Jinak odesílání dat do tabulky je šetřeno pomocí htmlspecialchars() - to by snad mělo stačit ne? :) EDIT: teď mě napadlo , že možná bude lepší funkce strip_tags() |
||
| YoSarin Profil |
#6 · Zasláno: 19. 7. 2011, 15:24:34
Rellik:
„Ona se podle toho ID vytvoří tabulka v databázi,“ Opravdu pro každou objednávku vytváříš novou tabulku? To nebude zcela OK... |
||
| Rellik Profil |
#7 · Zasláno: 19. 7. 2011, 15:46:43
YoSarin:
„Opravdu pro každou objednávku vytváříš novou tabulku? To nebude zcela OK...“ ono zase nepočítám s nějakým velkým množstvím zákazníků - spíš jen těch pár co už mám teď a navíc je pak z té databáze mažu - takže tam ty tabulky nezůstávají. Možná to předělám na session, ale s tou sem zatím nějak moc (skoro vůbec) nepracoval, tak nevím jak na to... Zkusím pohledat na netu. Případně bych to opět udělal tabulkou - jen jednou a bylo by v ní navíc ID zákazníka, podle kterého by se to filtrovalo.. |
||
| YoSarin Profil |
#8 · Zasláno: 19. 7. 2011, 15:54:34
Rellik:
„Případně bych to opět udělal tabulkou - jen jednou a bylo by v ní navíc ID zákazníka, podle kterého by se to filtrovalo..“ To je přesně to, co bys měl udělat (+ SESSION na přenášení a uchovávání informací o aktuálním nedokončeném nákupu) |
||
| Rellik Profil |
#9 · Zasláno: 19. 7. 2011, 16:53:08
Dočasně sem pozastavil ukázku - nejde přidávat zboží do košíku - předělávám to jinak, protože jak sem zjistil, ty záznamy v DB se začaly celkem hromadit...
|
||
| zatomik Profil |
#10 · Zasláno: 19. 7. 2011, 20:25:18
Rellik:
„Jinak jak si tam dostal jakýkoliv HTML kód??“ vypisuješ obsah cookie v infomacích o košíku, takže stačí dát do cookie třeba <b>tucne</b> a máš to tam. Databázi zákazníků určitě udělej jako jednu tabulku a na objednávky udělej druhou tabulku, kterou propojíš přes ID zákazníka. Na všechny vstupy od uživatele používej nějakou php funkci na odstranění speciálních znaků, všechny cookie, inputy, vše z POST a GET. htmlspecialchars($string,ENT_QUOTES) Určitě když budeš hledat na internetu, najdeš o bezpečnosti v PHP hodně článků i česky. Více by jsme ti asi o bezpečnosti tvé aplikace pověděli, kdyby jsme viděli kód. Zkoumat některé věci bývá časově náročné, takže to nikdo teďka dělat nebude, ale kdyby jsi měl jednou aplikaci, která potáhne útočníky, může to někomu stát zato. Třeba testování jestli deklaruješ všechny proměnné, které někde poté používáš. |
||
| Rellik Profil |
#11 · Zasláno: 19. 7. 2011, 20:54:21
Pokračování o e-shopu na http://diskuse.jakpsatweb.cz/?action=vthread&forum=3&topic=127930
Díky |
||
|
Časová prodleva: 13 let
|
|||
0