| Autor | Zpráva | ||
|---|---|---|---|
| Daniel47 Profil |
Ahojte všichni.
Budu rád za kritiku mého webu a prosím nepoužívejte sprostá slova. Více o webu: Chci udělat webovou stránku pro nahrávání videí. Chci něco jako YouTube. A respektujte že mi je 12Let a web jsem udělal sám. Odkaz na moji web stránku: dettube-cz.euweb.cz A css styli se učím a ještě je moc neumím. Tak omluvte styl webu.Budu rád za kritiku! |
||
| Mlocik97 Profil |
Daniel47:
chcete počuť kritiku pričom viete sami že je to katastrofa, a hneď to ospravedlnujete... neni teda spôsob jak napísať komentár aby splňoval vaše očakávania |
||
| Daniel47 Profil |
#3 · Zasláno: 26. 4. 2019, 15:16:54
Mlocik97:
Nechápu tě co říkáš, jenom nechci aby mi někdo říkal sprostýma slovama. |
||
| Keeehi Profil |
Daniel47:
„Nechápu tě co říkáš, jenom nechci aby mi někdo říkal sprostýma slovama.“ Toho se tady bát nemusíš. První a nejdůležitější, co teď musíš udělat, je omezit možnosti nahrávání souborů. To že povolíš nahrání jen určitých koncovek v input elementu ještě neznamená že prohlížeč uživatel nedonutí nahrát i něco jiného. <?php
if (isset($_FILES['image_'])) {
$imagesCount = count($_FILES['image_']['name']);
for ($i = 0; $i < $imagesCount; $i++) {
if (!in_array(strtolower(pathinfo($_FILES['image_']['name'][$i], PATHINFO_EXTENSION)), ["ogv", "avi", "mp4", "mpeg", "wmv", "mov", "ogm", "webm", "asx", "mpg"])) {
echo "Soubor " . htmlspecialchars($_FILES['image_']['name'][$i], ENT_QUOTES) . " nemá podporovanou koncovku. (Podporované koncovky: .ogv, .avi, .mp4, .mpeg, .wmv, .mov, .ogm, .webm, .asx a .mpg)<br>\n";
continue;
}
if (move_uploaded_file($_FILES['image_']['tmp_name'][$i], 'videa/' . $_FILES['image_']['name'][$i])) {
$autor = htmlspecialchars(substr($_POST['autor'], 0, 22), ENT_QUOTES);
$nazev = htmlspecialchars(substr($_POST['nazev'], 0, 168), ENT_QUOTES);
$popis = htmlspecialchars(substr($_POST['popis'], 0, 168), ENT_QUOTES);
$datum = Date("j/m/Y - - H:i:s", Time());
file_put_contents("data-videa.inc", '<dd><video width="532px" height="320px" src="/videa/'.rawurlencode($_FILES['image_']['name'][$i]).'" poster="/img/ostatni-videa-foto.jpg"
preload="none" crossorigin="anonymous" controls><track src="/webvtt/czt-video-info.txt" kind="subtitles" srclang="cs" label="České titulky" default></video><br /><b>'.$autor.': '.$datum.' </b><br /><div class="ram-1"><center><h2>'.$nazev.'</h2><p>'.$popis.'</p></center></div></p></dd><hr size="5px" color="blue"></dd>'.file_get_contents("data-videa.inc"));
} else {
echo "Soubor " . htmlspecialchars($_FILES['image_']['name'][$i], ENT_QUOTES) . " se nepodařilo nahrát.<br>\n";
}
}
}
?>Také jak máš níže include "data-videa.inc"; readfile("data-videa.inc"); |
||
| Mlocik97 Profil |
#5 · Zasláno: 26. 4. 2019, 16:33:52
tak z pohladu frontendu začneme (a to ani ne do podrobna, lebo to bych se nedopísal do večera):
1. duplicitne 2x definovaný charset a ešte k tomu windows-1250? Ja myslel že žijem v dobe UTF-8. 2. prapodivné používanie HTML značiek. 3. Zaujímavé riešenie noscriptu. 4. používanie absolútnych ciest hmm. 5. JS prapodivný, v prípade emotikonov by to nešlo cez cyklus for? a vôbec proč sa na to musí použiť JS? 6. Štruktúra chaotická 7. CSS a grafiku ste zhodnotili už sami. a tucet ďalšieho |
||
| Ikki Profil |
#6 · Zasláno: 26. 4. 2019, 17:39:20
Byla tu opravdu obrovská kupa webů která žádala o kritiku a názor. Většinou se k tomu dalo něco říct, tedy víceméně vždy, ale tady?
Nemám slov. Jedna věc je se omluvit za to, že se učíš, ale druhá věc je se tím prezentovat, žádat o kritiku ač víš, že to stojí za prd a víš co je nejhorší? Že sám nemáš web ani částečně v pořádku a snažíš se tu radit lidem načež tě ostatní musí opravovat, protože to děláš složitě, zastarale, nebo jinak špatně. Tohle mi příjde jako nejvyšší možná drzost. |
||
| Daniel47 Profil |
Ikki:
Co je na tom drzého? Jenom chci pomáhat a nic víc. Díky za rady! |
||
| Mlocik97 Profil |
Daniel47:
Ale když "poradíte" neco čomu vôbec nerozumíte tak tazatelom len škodíte lebo neporadíte správne. |
||
| Ikki Profil |
Co na tom Já osobně považuji za drzé?
1. Pokud se sám učíš a své výtvory prezentuješ se slovy "je mi 12, učím se, ještě mi to nejde" a o příspěvek dále napíšeš script, který obsahuje více reklamy o "tvůrci" než samotného kódu, který ještě není úplně v pořádku, tak si myslím, že je něco špatně. 2. Vystupovat s tím, že jsi něco méně - je ti 12, a? - a ještě si určovat pravidla kritiky. V tvém příspěvku jsi nám vlastně zakázal jakkoliv hanit tvou "tvorbu", protože ses za všechno omluvil hned. Tedy sám očividně víš, že to stojí za prd a děláš si jen reklamu na prokliky. Mohl bych to rozepsat mnohem více, ale ještě se vyjádřím k tvým ideálům. - Youtube dělal několik let tým profesionálů, kteří tomu narozdíl od tebe rozumí. Jak tedy ty sám, chceš udělat něco jako Youtube, když nejsi schopen zpracovat svůj web tak, aby alespoň vypadal "normálně"? To, že ten web je totálně blbě napsanej ani nebudu zmiňovat, to už tady někdo vytkl a díky bohu nevidíme zdroj. Ač jsme všichni jen lidi a na téhle diskusi jsme k tomu abychom se učili, pomohli, vzdělávali se, tak bychom měli (jsi asi první) mít nějakou soudnost. Každopádně ti přeju hodně štěstí a doufám, že web nemáš jen na prokliky. |
||
| Daniel47 Profil |
#10 · Zasláno: 27. 4. 2019, 16:06:23
Díky, budu se víc snažit. A skusím víc používat css.
|
||
| JakubHekal Profil |
Daniel47:
Tady nejde o větší používání css, ale o to aby ten web nějak vypadal, takže používat css s rozvahou. Doporučuji si nastudovat nějaký materiály. |
||
| Daniel47 Profil |
#12 · Zasláno: 27. 4. 2019, 17:35:15
JakubHekal:
Dáš mi odkaz na nejlepší studovaní pro css styli jak je umět použít? Prosím. |
||
| Tomášeek Profil |
Daniel47:
Příklady užití CSS jsou na JPW. Pak můžeš koukat do kódu profesionálním koderum, styly si můžeš prohlédnout na jakémkoliv webu (pokud uvidíš někde něco, co nechápeš, jak je nastylovane, jednoduše si to můžeš prohlédnout, jak to dotyčný (vy)řešil. Druhá věc je grafické cítění. Můžeš být koder od panaboha (umět nakodovat a ostylovat cokoliv), pokud ale nemáš graficky cit, nikdy hezky web neudělás - budeš potřebovat k ruce grafika. Tvůj problém dle mě není v tom, ze neumíš css, to se dá naučit, ale spíše v te grafické stránce - pokud myslíš, ze tvůj web zhodnocenihodny, fakt cit pro grafiku nemáš. A to je něco, co se naučit moc dobře nedá. A do třetice, mít službu jako YouTube. Co te vede k tomu udělat službu stejnou, jaká už existuje? Tam nemáš šanci proniknout, ani kdyby ti bylo 30 a měl jsi X let praxe, nikdy nebudeš mít ani procento českého trhu. Zkus vymyslet službu, která tu ještě není. |
||
| JakubHekal Profil |
#14 · Zasláno: 27. 4. 2019, 17:59:37
Daniel47
Tomášeek má pravdu. Do začátku jsi si vzal moc velké sousto. |
||
| Keeehi Profil |
#15 · Zasláno: 27. 4. 2019, 21:00:18
Tomášeek:
S většinou se dá souhlasit, až na tu třetí část. U Daniel47 je naprosto jedno, jaké téma si zvolí. Může okopírovat něco, co už existuje, může mít nějakou revoluční myšlenku, která nikdy nikoho nenapadla. Výsledek bude vždy stejný. O jeho výtvoru uslyšejí vždy a jedině jeho kamarádi. Já jsem ve dvanácti plácal také webíky a přibližně na podobné úrovni jako Daniel47 dnes. Dokonce to bylo možná i horší. Web co jsem udělal pro třídu měl "zaheslovanou" část. Heslo se ověřovalo javascriptem, takže bylo vidět ve zdrojáku a "zaheslovaná" část byla vlastně jen stránka, na kterou jen nevedl klasický odkaz. Ale když jsi znal URL ... Co tu bylo začátečníků kteří chtěli tvořit své redakční systémy a vlastní kopie travianu. Zřejmě to nikdy nedokončili, natož aby to mělo ještě třeba komerční úspěch. Proto si myslím, že pro Daniel47 je každý projekt stejně dobrý jako jakýkoliv jiný. Na úspěšnosti daného projektu vůbec nezáleží. Důležité je, aby to Daniel47 bavilo a tím pádem u toho vydržel. A tím se bude učit. O ničem jiném to není. A jestli ho v dnešní době baví videa, tak ať. Ničemu to nevadí. |
||
| Daniel47 Profil |
#16 · Zasláno: 27. 4. 2019, 21:18:39
Keeehi:
Díky, velmi pěkný komentář. |
||
| Bubák Profil |
#17 · Zasláno: 28. 4. 2019, 00:04:27
Tomášeek:
„nikdy hezky web neudělás - budeš potřebovat k ruce grafika“ Další možnost je inspirovat se nějakou pěknou šablonou, doporučil bych nějakou free, aby nebyly problémy v případě, že by inspirace hraničila s kopírováním. |
||
| Daniel47 Profil |
Trochu jsem udělal jinou grafiku webu. Už je to trochu lepší. Co byste ještě změnili, poraďte mi! Už mě moc zatím nenapadá. Budu rád za radu.
Bubák: Free šablony nechci používat, protože se žádná nehodí a také chci si udělat vlastní grafiku. |
||
| Daniel47 Profil |
#19 · Zasláno: 28. 4. 2019, 10:10:44
Nekdo mi hacknul web stránku. Místo mého obsahu je jinej, nějaký cizí.
|
||
| Mlocik97 Profil |
Daniel47:
to pretože nepoznáte pojem escaping, regex a sanitizing.... vašu stránku by "hacknúť" teda vykonať XSS útok dokázal aj 5 ročné decko so zlámanými prstami. |
||
| Ikki Profil |
#21 · Zasláno: 28. 4. 2019, 10:31:08
Nedivím se. No stále mě baví ten létající footer.
|
||
| Mlocik97 Profil |
#22 · Zasláno: 28. 4. 2019, 10:33:41
Vaša stránka je super-náchylná na XSS.
|
||
| Daniel47 Profil |
Čo je to vlastně XSS?
A jak to mu zabránit? Už jsem to vyřešil všechno je pořádku. |
||
| Mlocik97 Profil |
Daniel47:
XSS je to když máš v stránke nejaký input (niekde kde môže niečo návštevník písať) a on do toho pola napíše kód a namiesto toho aby sa odoslal ako text, tak sa vykoná. (vysvetlené laicky) ako sa voči tomu brániť som napsal hore: escaping, regex, sanitizing |
||
| Keeehi Profil |
„Čo je to vlastně XSS?“
Když něco neznáš, tak prosím nejdříve použij google a pokud dlouhou dobu hledáš a nemůžeš nic najít, tak se pak ptej. Na mě vyskočilo třeba www.zdrojak.cz/clanky/co-je-xss-jak-mu-predchazet „A jak to mu zabránit?“ Sám jsi se tomu bránil. str_replace znaků za <> za znak # je vlastně taková ochrana. Ale mnohem lepší je k tomu používat funkce, které jsou k tomu určené. To je proč jsem v tom kódu v [#4] použil htmlspecialchars. Jinak říká se tomu escapování. Co je ale důležité, je to, že veškeré vstupy které kdy zadal nějaký uživatel musejí být ošetřené před jejich vypsáním do stránky.
„Už jsem to vyřešil všechno je pořádku.“ Nenapsal jsi jak, ale pokud jsi stránky jen přehrál novou verzí, tak jsi toho moc nevyřešil. Ta chyba tam někde je a může se ti to stát znovu, pokud to neopravíš. Mlocik97: „regex“ Ty bych do toho raději moc netahal. HTML není regulární jazyk a proto regulární výrazy, ač mocné, nestačí na vyjádření jeho komplexnosti. V bezpečnosti navíc platí, že by člověk měl používat funkce a knihovny k tomu určené a ne si psát vlastní, protože na těch většinou pracují odborníci a věnovali tomu mnoho hodin. Tvorba něčeho vlastního pomocí regulárních výrazů tam tedy úplně nespadá. |
||
| Daniel47 Profil |
Mě ale celý soubor: ostatní-videa.php přepsali.
XSS to nebyl. Nebudem to dál řešit. A jak byste vy vyřešili grafiku? |
||
| Mlocik97 Profil |
#27 · Zasláno: 28. 4. 2019, 11:45:19
Daniel47:
"XSS to nebyl" usudzujete podľa čoho? však ste pred minútou ani nevedeli čo XSS je, a teď si jednoducho poviete že to XSS nebol. |
||
| Daniel47 Profil |
#28 · Zasláno: 28. 4. 2019, 14:10:54
Prostě to vím.
|
||
| Mlocik97 Profil |
Daniel47:
tak vidím že už ste neco proti XSS urobily. aspoň že meníte znaky < , > za mriežky a " za “.
|
||
| Bubák Profil |
#30 · Zasláno: 28. 4. 2019, 17:13:03
Keeehi:
„veškeré vstupy které kdy zadal nějaký uživatel“ Vstupem může být i referrer, user agent, cookie..., to vše může návštěvník stránky podvrhnout. |
||
|
Téma pokračuje na další straně.
|
|||
0