Autor Zpráva
epoxman
Profil
Zdravím, chtěl bych aby někdo mrknul na WEB


Jedná se o závěrečku do školy, je to po 3 měsících učení v php, zaverecna prace na cca 30 hodin.

V menu možnost, přidat články, kategorie, editovat uživatele, v řešení je zatím úprava a mazání komentářů a odpovědí na ně.


Prosím zhodnocení, děkuji :)
DJ Miky
Profil
1) Menu by nemělo být závislé na JavaScriptu, bez něj se člověk nikam nedostane.
2) V logu máš překlep "Transsiská".
3) Pokud si rozšířím okno na celou šírku monitoru (1680 px), tak už je místo obrázkového pozadí vidět jen zelená plocha.
4) Chybové hlášky v registraci by neměly nechat zmizet formulář, takto musím použít tlačítko zpět a přijdu tím o vyplněné hodnoty. Stejně tak při zadání špatných údajů v přihlášení nebo kliknutí na odpověď na komentář jako nepřihlášený.
5) Dobrým zvykem je klikací logo s odkazem na hlavní stránku webu.
6) Špatně ošetřuješ vstupy, apostrof zadaný do přihlašovacího nebo registračního formuláře způsobí chybu v SQL dotazu (a lze to využít pro SQL injection útok).
Anonymní
Profil *
Upřímně řečeno nevím jestli bych něco takového prezentoval jako závěrečnou práci.
Začneme od začátku a to jest design.
Design no, nenadchne a jde se říct že ani zas tak neurazí, bohužel design je celý rozhozený při spuštění v IE, což dobré v žádném případě není! Další co mi skočilo do oka byly formuláře, upřímně řečeno se mi moc nezamlouvá že jednotlivé kolonky jsou tak brutálně napláclé na sebe. Takže doporučuji předělat.
A teď k tomu důležitější a to je bezpečnost, kdokoliv nepřihlášení ti může listovat složky(ano záleží na nastavení serveru) - to by nebylo ale tak na škodu, co je žalostného je, že i nepřihlášený člověk se dostane do míst kam očividně nemá mít přístup(nebudu je tady přímo zvěřejnovat, protože lidi dokážou být sv*ně a hlavně myslím že 95% uživatelů tohoto fóra se do těchto míst dostane) a ještě hůře, tento stejný člověk může upravovat záznamy z databáze ba je dokonce mazat. Rozhodně bych nepochyboval o bezpečnostních chybách, které tam určitě budou - upřímně jen jedním pokusem jsem přišel na minimálně na jednu.

Takže doporučuji ti, překopej celý design, ošetři si vstupy, vyžaduj přihlášení třeba admina do určitých sekcí, kde lze nadělat velkou škoda atd atd.. Máš spousty práce před sebou tak s úsměvem do toho! :)
epoxman
Profil
Moc děkuji, design napravím i pro jiné prohlížeče, vypisování chybových hlášek taky napravím, ale potřeboval bych poradit se zabezpečením, na začátku každého skriptu mám podmínky např.:
<?php
include("zahlavi.php");

if(!isset($_SESSION['prihlasen'])){
echo "<p align='center'><b>Přihlašte se!</b></p>";
include("zapati.php");
}elseif(isset($_SESSION['level_uzivatele'])){

tady je ten tajný obsah

include("zapati.php");
}}
?> 

jak lépe zabezpečit webové stránky aby byli použitelné v realném prostředí. Prosím kdyby to šlo o konkrétní věci, odkazy na webovky moc nepomůžou, děkuju moc za ochotu..
user243
Profil
elegantnější je:
echo '<p align="center"><b>Přihlašte se!</b></p>';
dále bych formátoval odstavec pomocí kaskádových stylů;
zápatí bych z podmínky úplně vypustil, protože se bude načítat tak nebo tak; vhodnější zápis pro include je bez použití závorek a s absolutně adresovanou cestou;
zabezpečení pomocí session je dobrá volba;
epoxman
Profil
díky díky, ale mohl by mi někdo pomoci s tím zabezpeřením jak psal Anonymní..?

Předem moc děkuji :)
margin
Profil *
Web je rozhozený v IE, dej na první řádek třebas <!doctype html> a web by měl vypadat lépe, v explorerech bude fungovat třeba min-height a přepnou se z obrysového na obsahový box model.
epoxman
Profil
Už i v IE mi to sedí tak jak ve Firefox, bohužel si nevím rady jak s tím zabezpečením jak psal Anonym, nevím co mám špatně zabezpečeno, prosím o radu, popřípadě na epoxor@email.cz. Myslím že to mám přes session dobře zabezpečeno, akorát musí ošetřit vstupy.

Prosím moc o radu, děkuji... :)
Anonymní
Profil *
Aha tak omluva, zjistil jsem, že jsem očividně asi lezl někam, co s tímto webem asi vůbec nesouvisí. Takže sorry, že jsem tě takhle mystifikoval.
RockFire
Profil
epoxman:
Zkus si do přihlášení do jména zadat:

a' OR 1=1 OR 1 = '2
epoxman
Profil
to mě teďka velmi potešilo :) ,že nebyla chyba na mé straně, oni na tomto serveru mají projekty i ostatní žáci kteří bohužel nejsou schopni, děkuji :)) hned se mi bude lépe usínat :D


ano SQL injection musím ošetřit, děkuji :)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: