| Autor | Zpráva | ||
|---|---|---|---|
| Stalker Profil |
Ahoj,
konečně jsem po dlouhé době kompletně předělal své osobní stránky www.mcernak.cz Poprosil bych o kritiku především vzhledu, přehlednosti, čitelnosti a orientace. Hodnotit kód nemusíte, vím, že tam mám spoustu chyb a byl by třeba ještě jednou přepsat, ale na to dojde až později :) Velmi předem děkuji jak za pozitivní, tak za negativní kritiku. |
||
| lionel messi Profil |
#2 · Zasláno: 28. 10. 2013, 18:08:34
Kód som si na želanie autora ani nepozrel :)
Vzhľad - niektoré veci mi prídu málo kontrastné. - Do patičky by som dal čierne písmo, nie takéto šedé. - Obrázok na pozadí rozhodne nie je škaredý, ale v oblastiach, kde sa prelína s textom mi príde trošku rušivý, text je potom málo výrazný (nutno podotknúť, že mám určitý zrakový hendikep, takže to netreba brať tak vážne :)) - Efekt tieňa riešený pomocou elementu a.stin-foto mi príde zaujímavý, ale ja by som na Tvojom mieste dal rovnakú výšku i polohu prekrývajúcim sa elementom.
Čitateľnosti som sa venoval pri vzhľade, texty mi prídu napísané vcelku zaujímavo (vychádzam z Tvojich začiatkov, ktoré som prelúskal :)) Teraz som skúsil vložiť komentár a napadlo ma, že by som výpis komentov možno hodil nad komentárový formulár, ale to je len vec vkusu. Želám veľa šťastia a nech vydrží nadšenie! |
||
| Fisir Profil |
Reaguji na Stalkera:
1. Bez obrázků nevidím text hlavičky 2. Pole Vaše jméno u komentářů má standardní border, zatímco textarea má změněný
3. Pozor na XSS: www.mcernak.cz/clanek.php?clanek_id=30 Promiň. 4. Tlačítko pro přidání komentáře nemá efekt postupného přebarvení textu, zatímco tlačítko pro přechod na výpis článků jej má 5. V boxu na stránce Kontakt nejsou odlišené odkazy (bez toho, abych po nich přejel myší) |
||
| Stalker Profil |
#4 · Zasláno: 28. 10. 2013, 18:21:35
[#3] Fisir
Nejdřív se vyjádřím přednostně k tobě. Jsem rád, že to někdo otestoval proti hacknutí, a že našel chybu někdo, kdo mi "zatím" nesmazal celou DB. Každopádně nechceš to "hacknutí" odstranit a poradit mi jak na to? PHP kód jsem nedělal já a nevyznám se v tom tolik, abych dokázal najít chybu. A tak trochu mi to ehm kazí použitelnost pro moje potenciální čtenáře. |
||
| Fisir Profil |
Reaguji na Stalkera:
Na stránce, na kterou jsem tě přesměroval, je uvedena funkce htmlspecialchars(). Ta escapuje speciální znaky (<,>, …) do entit, takže se nestane takovéto „hacknutí“. Touto funkcí tedy ošetři všechny výstupy. Doufám, že je použito escapování alespoň na vstupy do databáze. To radši zkoušet nebudu. Prozatím smaž můj komentář z databáze, ať ti funguje článek. Vložil jsem jen JavaScriptový kód. Ještě jednou se omlouvám a doufám, že mě nebudeš žalovat ;).
|
||
| lionel messi Profil |
#6 · Zasláno: 28. 10. 2013, 18:28:17
Fisir:
A ako sa takýto hack vlastne robí? Stačí napísať niečo ako: <script>alert("Bum!")</script>?
|
||
| Fisir Profil |
Reaguji na lionela messiho:
Přesně to stačí. Právě escapování zajistí to, že se <script> nebude chovat jako HTML tag, protože ve skutečnosti z něj bude <script>, takže se do stránky jen vypíše.
|
||
| Stalker Profil |
#8 · Zasláno: 28. 10. 2013, 18:29:26
[#5] Fisir
Žalovat tě nebudu, jsem rád, že někdo otestoval i tuto možnost, protože já bych to nedokázal. Jen mě štve, že mi kazíš stránky :D (slušně řečeno). Zkusím se na to hned podívat a pak sem popřípadě napsat můj další postup. Každopádně díky za upozornění |
||
| Fisir Profil |
Reaguji na Stalkera:
Sakra, teď jsem se prozatím pokoušel zabránit přesměrování a místo toho jsem ti zrušil patičku. Prosím, odmaž i můj druhý komentář. A escapuj výstup komentářů (radši i uživatelské jméno)! |
||
| Stalker Profil |
#10 · Zasláno: 28. 10. 2013, 18:35:09
[#9] Fisir
Hm.. pěkný :D Komentář jsem smazal. A tady všechen tento bordel způsobí htmlspecialchars() ? |
||
| Fisir Profil |
Reaguji na Stalkera:
„A tady všechen tento bordel způsobí htmlspecialchars() ?“ Ten způsobí, že místo toho, aby se mnou vložený JavaScriptový kód provedl, tak se jenom vypíše do stránky a nic neudělá. Kdyžtak hledej pojem escapování. htmlspecialchars() je PHP funkce, která probíhá na serveru.
|
||
| lionel messi Profil |
#12 · Zasláno: 28. 10. 2013, 18:36:21 · Upravil/a: lionel messi
Stalker:
„A tady všechen tento bordel způsobí htmlspecialchars() ?“ Nie, práve naopak, používanie tejto funkcie mu zabráni. Sorry, Fisir ma už predbehol :) |
||
| Stalker Profil |
#13 · Zasláno: 28. 10. 2013, 18:40:47
|
||
| Fisir Profil |
#14 · Zasláno: 28. 10. 2013, 18:45:02
Reaguji na Stalkera:
Výborně, takže můžeš odmazat i můj třetí komentář :D. Escapují se všechny uživatelské vstupy do databáze ( mysqli_real_escape_string()) a všechny uživatelské výstupy, ve kterých by neměl být HTML kód (htmlspecialchars()).
|
||
| Stalker Profil |
#15 · Zasláno: 28. 10. 2013, 18:51:39
[#14] Fisir
Smazán :D Díky moc za to, že jsi přišel tak rychle na tuto chybu. Naštěstí se to dostalo do dobrých rukou :) Všechny uživatelské vstupy mám snad ošetřené pomocí mysqli_real_escape_string() a uživatelské výstupy pomocí htmlspecialchars() už teď taky :)
Ještě jednou díky |
||
| han5vk Profil |
#16 · Zasláno: 28. 10. 2013, 19:02:24
Vypni si zobrazovanie chybových hlášok z PHP, skúsil som si SQL injection a vypľulo mi to chybovku že fetch_array dostalo boolean a nie resource :)
Pod text v článkoch by som dal nejaké (priehľadné?) biele pozadie, takto sa to trocha zle číta na sivom a obzvlášť v miestach kde je to farebné rozblurované na pozadí, teda niečo také ako máš na perexoch v časti Blog. Keď som čítal článok chcel som sa dostať na začiatočnú stránku, tak som klikol prvý link v menu a dostal som sa na "O mne", teda by som asi Blog presunul v menu pred to. Inak sa mi web vcelku páči. |
||
| Stalker Profil |
#17 · Zasláno: 28. 10. 2013, 19:03:03
[#2] lionel messi
Dobře, že ses nedíval na kód. Za poslední týden jsem se toho strašně moc naučil a zjistil jsem, že aby byl můj kód správně, ať už se to týče sémantiky, přístupnosti, nebo dalších věcí, tak bych ho musel celý přepsat. O chybách vím, proto by bylo zbytečné je hodnotit. - V patičce jsem měl šedé písmo, protože mi přišla ne-tak podstatná a nechtěl jsem, aby na sebe zbytečně poutala pozornost. Ale je pravda, že černá v porovnání s teď už ex-šedou vypadá líp :) - Je pravda, že text oproti obrázku na pozadí je v určitých místech hůře čitelný. Zkusím to trochu zesvětlit. - Efekt stínu moc nechápu. Dělal jsem ho pomocí box-shadow. Mohl bys mi tvé řešení více přiblížit? Je pravda, že jsem poslední tři dny psal kód velmi rychle, na úkor kvality, takže tam možná bude nějaká takováto prasečinka, o které snad ani nevím :D
- co se týče komentářů, je to určitě věc vkusu. Potřeboval bych asi grafika, aby mi to kompletně navrhnul :D Zatím to ale měnit nehodlám. Díky moc za náměty :) |
||
| lionel messi Profil |
#18 · Zasláno: 28. 10. 2013, 19:10:46
Stalker:
„Efekt stínu moc nechápu. Dělal jsem ho pomocí box-shadow. Mohl bys mi tvé řešení více přiblížit?“ Mne by box-shadow neprekážal, ale privítal by som, aby nadpis a obrázok "Rekonstrukce webových stránek" boli vertikálne zarovno s vedľajším textom v žltom dive - pohral by som sa s vertikálnym centrovaním (takto narýchlo nemám presnejšiu predstavu ako - po vyčerpávajúcom pracovnom dni ma nič nevie napadnúť a vertikálnym centr. sa až tak moc nezaoberám :)) |
||
| Stalker Profil |
#19 · Zasláno: 28. 10. 2013, 19:14:22 · Upravil/a: Stalker
[#3] Fisir
1. Nechápu. Můžeš mi to prosím přiblížit? 2. Nejsem si nijak vědom, že bych měnil border u textarea. Ani v CSS nevidím nic změněného. 3. Vyřešeno s tvoji pomocí. Ještě jednou díky 4. Opraveno 5. Opraveno Díky moc za připomínky. [#18] lionel messi V pohodě, už chápu co myslíš. Akorát se obávám velkého odskoku v horní části nad nadpisem. Ale díky za námět, popřemýšlím nad tím určitě :) |
||
| Rfilip Profil |
#20 · Zasláno: 28. 10. 2013, 19:25:00
Tak jsem take zkusil SQL injection a nastesti neuspesne, hledani i pridani komentaru mate jiz ochranene
|
||
| Stalker Profil |
#21 · Zasláno: 28. 10. 2013, 19:55:31
[#20] Rfilip
Díky moc za toto otestování. Jsem rád, že už je to v pořádku. |
||
| Fisir Profil |
#22 · Zasláno: 28. 10. 2013, 20:39:36
Reaguji na Stalkera:
„1. Nechápu. Můžeš mi to prosím přiblížit?“ Pokud si vypnu obrázky, nebo budu na pomalém připojení, nebo obrázek z jiného důvodu nedorazí, nevidím text „Marek Černák osobní stránky“. „2. Nejsem si nijak vědom, že bych měnil border u textarea. Ani v CSS nevidím nic změněného.“ Omlouvám se, opravdu ne. Takhle rozdílně to vykresluje Chrome a Windows 8.1. |
||
| Stalker Profil |
#23 · Zasláno: 28. 10. 2013, 21:09:36 · Upravil/a: Stalker
[#22] Fisir
„1. Nechápu. Můžeš mi to prosím přiblížit?“ Pokud si vypnu obrázky, nebo budu na pomalém připojení, nebo obrázek z jiného důvodu nedorazí, nevidím text „Marek Černák osobní stránky“. Áha. Zapracuju na tom, aby to tam bylo vypsáno i textem. „2. Nejsem si nijak vědom, že bych měnil border u textarea. Ani v CSS nevidím nic změněného.“ Omlouvám se, opravdu ne. Takhle rozdílně to vykresluje Chrome a Windows 8.1 Tak to je ok. Windows 8.1 nemám, tak ani nemůžu vědět. :) Co ale vím, že například MAC vykresluje font moc tučně. [#16] han5vk Na zobrazování hlášek v PHP se určitě podívám. Taky jsi mi připomněl, že nemám ještě vytvořenou stránku pro chybu 404. - Na pozadí pod text v článku se budu muset zamyslet. Nejsi první, kdo to píše (například lionelu messimu se to také blbě četlo). To pozadí jsem tam dávat nechtěl, ale uvidím, co se bude dát vymyslet. - Menu jsem přehodil. Dobrá připomínka. Díky moc za kritiku |
||
|
Časová prodleva: 6 dní
|
|||
| Stalker Profil |
#24 · Zasláno: 3. 11. 2013, 17:55:55
[#16] han5vk
Dá se nějak ta chybová hláška nasimulovat? Myslíš vypnutí notice z php na serveru? Kdesi jsem kdysi četl, že to není zrovna nejlepší vypínat. |
||
| han5vk Profil |
#25 · Zasláno: 3. 11. 2013, 18:54:00
Otvor si napríklad http://www.mcernak.cz/clanek?clanek_id=30'%20or%201
Je to warning, nie notice. Netuším prečo by sa v ostrej prevádzke nemali skryť všetky PHP chyby, IMO by sa mali zalogovať a užívateľovi len napísať že sa niečo pokazilo, neodhaľovať mu časti aplikácie, a čo je kde na akom riadku :) |
||
| Stalker Profil |
#26 · Zasláno: 3. 11. 2013, 18:59:34
[#25] han5vk
Aha, díky moc. Něco s tím udělám :) |
||
|
Časová prodleva: 10 let
|
|||
0