Diskuse JPW: Zhodnocení závěrečné práce

	Autor	Zpráva
	epoxman Profil	#1 · Zasláno: 28. 5. 2013, 11:10:14 Odpovědět Citovat Zdravím, chtěl bych aby někdo mrknul na WEB Jedná se o závěrečku do školy, je to po 3 měsících učení v php, zaverecna prace na cca 30 hodin. V menu možnost, přidat články, kategorie, editovat uživatele, v řešení je zatím úprava a mazání komentářů a odpovědí na ně. Prosím zhodnocení, děkuji :)
	DJ Miky Profil	#2 · Zasláno: 28. 5. 2013, 11:25:08 · Upravil/a: DJ Miky 28. 5. 2013, 12:43:37 Odpovědět Citovat 1) Menu by nemělo být závislé na JavaScriptu, bez něj se člověk nikam nedostane. 2) V logu máš překlep "Transsibřská". 3) Pokud si rozšířím okno na celou šírku monitoru (1680 px), tak už je místo obrázkového pozadí vidět jen zelená plocha. 4) Chybové hlášky v registraci by neměly nechat zmizet formulář, takto musím použít tlačítko zpět a přijdu tím o vyplněné hodnoty. Stejně tak při zadání špatných údajů v přihlášení nebo kliknutí na odpověď na komentář jako nepřihlášený. 5) Dobrým zvykem je klikací logo s odkazem na hlavní stránku webu. 6) Špatně ošetřuješ vstupy, apostrof zadaný do přihlašovacího nebo registračního formuláře způsobí chybu v SQL dotazu (a lze to využít pro SQL injection útok).
	Anonymní Profil *	#3 · Zasláno: 28. 5. 2013, 11:56:44 Odpovědět Citovat Upřímně řečeno nevím jestli bych něco takového prezentoval jako závěrečnou práci. Začneme od začátku a to jest design. Design no, nenadchne a jde se říct že ani zas tak neurazí, bohužel design je celý rozhozený při spuštění v IE, což dobré v žádném případě není! Další co mi skočilo do oka byly formuláře, upřímně řečeno se mi moc nezamlouvá že jednotlivé kolonky jsou tak brutálně napláclé na sebe. Takže doporučuji předělat. A teď k tomu důležitější a to je bezpečnost, kdokoliv nepřihlášení ti může listovat složky(ano záleží na nastavení serveru) - to by nebylo ale tak na škodu, co je žalostného je, že i nepřihlášený člověk se dostane do míst kam očividně nemá mít přístup(nebudu je tady přímo zvěřejnovat, protože lidi dokážou být sv*ně a hlavně myslím že 95% uživatelů tohoto fóra se do těchto míst dostane) a ještě hůře, tento stejný člověk může upravovat záznamy z databáze ba je dokonce mazat. Rozhodně bych nepochyboval o bezpečnostních chybách, které tam určitě budou - upřímně jen jedním pokusem jsem přišel na minimálně na jednu. Takže doporučuji ti, překopej celý design, ošetři si vstupy, vyžaduj přihlášení třeba admina do určitých sekcí, kde lze nadělat velkou škoda atd atd.. Máš spousty práce před sebou tak s úsměvem do toho! :)
	epoxman Profil	#4 · Zasláno: 28. 5. 2013, 18:30:13 · Upravil/a: epoxman 28. 5. 2013, 19:36:43 Odpovědět Citovat Moc děkuji, design napravím i pro jiné prohlížeče, vypisování chybových hlášek taky napravím, ale potřeboval bych poradit se zabezpečením, na začátku každého skriptu mám podmínky např.: <?php include("zahlavi.php"); if(!isset($_SESSION['prihlasen'])){ echo "<p align='center'><b>Přihlašte se!</b></p>"; include("zapati.php"); }elseif(isset($_SESSION['level_uzivatele'])){ tady je ten tajný obsah include("zapati.php"); }} ?> jak lépe zabezpečit webové stránky aby byli použitelné v realném prostředí. Prosím kdyby to šlo o konkrétní věci, odkazy na webovky moc nepomůžou, děkuju moc za ochotu..
	user243 Profil	#5 · Zasláno: 28. 5. 2013, 20:16:58 Odpovědět Citovat elegantnější je: echo '<p align="center"><b>Přihlašte se!</b></p>'; dále bych formátoval odstavec pomocí kaskádových stylů; zápatí bych z podmínky úplně vypustil, protože se bude načítat tak nebo tak; vhodnější zápis pro include je bez použití závorek a s absolutně adresovanou cestou; zabezpečení pomocí session je dobrá volba;
	epoxman Profil	#6 · Zasláno: 28. 5. 2013, 20:21:02 Odpovědět Citovat díky díky, ale mohl by mi někdo pomoci s tím zabezpeřením jak psal Anonymní..? Předem moc děkuji :)
	margin Profil *	#7 · Zasláno: 28. 5. 2013, 20:40:01 Odpovědět Citovat Web je rozhozený v IE, dej na první řádek třebas `<!doctype html>` a web by měl vypadat lépe, v explorerech bude fungovat třeba min-height a přepnou se z obrysového na obsahový box model.
	epoxman Profil	#8 · Zasláno: 28. 5. 2013, 20:47:43 Odpovědět Citovat Už i v IE mi to sedí tak jak ve Firefox, bohužel si nevím rady jak s tím zabezpečením jak psal Anonym, nevím co mám špatně zabezpečeno, prosím o radu, popřípadě na epoxor@email.cz. Myslím že to mám přes session dobře zabezpečeno, akorát musí ošetřit vstupy. Prosím moc o radu, děkuji... :)
	Anonymní Profil *	#9 · Zasláno: 28. 5. 2013, 20:56:11 Odpovědět Citovat Aha tak omluva, zjistil jsem, že jsem očividně asi lezl někam, co s tímto webem asi vůbec nesouvisí. Takže sorry, že jsem tě takhle mystifikoval.
	RockFire Profil	#10 · Zasláno: 28. 5. 2013, 20:57:05 Odpovědět Citovat epoxman: Zkus si do přihlášení do jména zadat: a' OR 1=1 OR 1 = '2
	epoxman Profil	#11 · Zasláno: 28. 5. 2013, 20:58:00 · Upravil/a: epoxman Odpovědět Citovat to mě teďka velmi potešilo :) ,že nebyla chyba na mé straně, oni na tomto serveru mají projekty i ostatní žáci kteří bohužel nejsou schopni, děkuji :)) hned se mi bude lépe usínat :D ano SQL injection musím ošetřit, děkuji :)
		Časová prodleva: 11 let

Vaše odpověď

Mohlo by se hodit