Forum PHP.pl

Stworzyłem własny CMS, na frameworkach codeigniter i bootstrap.
link:
http://s1060364-14898.home-whs.pl/modules_1/
Admin ze wszystkimi uprawnieniami
email: jan@kowalski
hasło: abcd

Użytkownik z uprawnieniami do zwykłego zarządzania
email: beata@beata.pl
hasło: abcd

Co sądzicie?

Na admina nie mozna sie zalogowac.
Albo robisz strone po polsku albo po angielsku.(zmien jezyk w CI na PL)
Uzywasz bootstrap ale strona nie jest responsywna(np panel logowania, reszta zakladek rowniez) przyjrzyj sie temu.
Rozszerz wyswig.
Brak podgladu zdjec, galerii(uzyj js`a do tworzenia galerii istnieje sporo gotowych rozwiazan).
Malo incyuicyjne wszystko jest(zmiana layoutu napewno pomoze).
Zmien layout to co Ty masz to jest porazka(uzyj jakis gotowych).
Kolejnosc kategorii po co tam przycisk zapisz?Przeciez mozna uzyc ajax`x i zapisywac przy opuszczaniu(zainteresuj sie ajaxem).
Paginacja ze strzalkami brzydkie to. Bootstrap ma ladniejsze paginacje.
Dodajesz wpisy a gdzie mozna je zobaczyc?(a pozatym zrob jakies grid view zdjec jak i wpisow listowanie jest juz staromodne )
Dodaj cos wiecej do swojego projektu jakies diagramy aktywnosci, wpisow wszystkiego co sie da.
Po wpisaniu w adresie np: http://s1060364-14898.home-whs.pl/modules_1/admin/image sa krzaki.(pomoze pewnie zmiana na UTF-8).


Ogolnie duzo pracy przed Toba. Strasznie amatorskie to.

Ten post edytował rad11 5.06.2015, 17:43:50

http://s1060364-14898.home-whs.pl/modules_...ontents/edit/9:

http://s1060364-14898.home-whs.pl/modules_...tents/edit/10/1

Wszedzie blad jak kliknie sie "zapisz"

Tlo (to "pomaranczowe"?) dziwnie wyglada.

Ten post edytował Ksar 5.06.2015, 18:00:08

Ksar to nic spojrz tutaj

http://forum.php.pl/index.php?showtopic=24...p;#entry1160590

Kolego naprawdę na Twoim miejscu jeszcze bym się powsciągnął z takimi ofertami bo Ja osobiście niechciałbym aby ktoś takie strony mi robił

Ech .
---
Wracając do tematu,
Połowa strony źle działa, mogę się mylić ale chyba są możliwe ataki XSS w kilku miejscach.
(Uzywasz strip_tags zamiast htmlspecialchars($str,ENT_QUOTES,'UTF-8'); )
Itp, popraw bledy zeby bylo co testowac;

Ksar dziwne, że błąd wywaliło, wcześniej tego nie było, przyjrzę się temu, błąd przy zapisie, bo się array wyświetla, nie było tego wcześniej.




Rad11, ludzie, którym robiłem byli zadowoleni, więc nie ma aż takiej tragedii jak twierdzisz, po za tym nie robiłem ich za 5 tys. cena wzrasta wraz z doświadczeniem i możliwościami. Kolejność kategorii i przycisk zapisz wykorzystuje ajax! Przycisk zapisz jest po to, żeby zatwierdzić zmiany Paginację poprawię, chociaż to kwestia gustu. pomyślę nad tym grid view i diagramami aktywności, trochę nie widzę potrzeby tego, ale przemyślę sprawę.
Wpisy ogląda się na stronie bezpośrednio według mojego mnienia, nie ma potrzeby czytania ich w cmsie i tak samo ze zdjęciami.
Dziwnie jest atakować swoją stronę , bo zmiany można wprowadzać dopiero po zalogowaniu, ale rzeczywiście warto dodać taką walidację, dzięki za odpowiedzi.
Ładnie pojechaliście. Wezmę wszystko pod uwagę.
Według mnie wszystko jest bardzo intuicyjne, ma ktoś pomysł konkretny jak poprawić intuicyjność? Jest proste menu. Wszystko można ogarnąć w 5 minut.

Ten post edytował Omenomn 5.06.2015, 19:14:07

Nie wiem jak inni ale ja gdy widze strone wlasnie tego pokroju- czyli slabo przygotowana wizualnie, to jeztem pewien na 90% ze kod i logika wyglada tak samo. Jesli ktos jest dobry i powaznie podchodzi do tematu, to nie robi niczego na odpierdol - a tutaj to tak wyglada. Nie wyobrazalbym sobie opublikowac swojego projektu w takim wydaniu... taka postawa wydaje mi sie tym bardziej dziwna z uwagi na to, ze nie ma teraz problemu kupic - za grosze, na prawde fajne i nowoczesne szablony. pamietaj ze pierwsze co sprawia ze uzytkownik chce pozostac na twojej stronie, to przede wszystkim jej wyglad.

Sorki za błedy, pisze z telefonu.

Brak HttpOnly dla sesji, brak tokenów czy kasowania z wykorzystaniem post zamiast get:

<img src="http://s1060364-14898.home-whs.pl/modules_1/admin/contents/delete/9/1"> i tracisz dane.
Brak ochrony przed brute force.

Strona błędu nie ma<html><body> przez co wali krzakami.
Błąd

@Spawnm to że Get zamiast post to nic nie zmienia.
Może być GET o ile wew. jest wprowadzone zabezpieczenie przed takimi kwiatkami jak mówisz czyli musisz być Autoryzowany oraz być właścicielem obiektu. Jeśli to spełnisz to w 90% przypadków nic nie zdziałasz takimi linkami gdzieś tam.

@Pyton_000 takimi linkami można wyczyścić wszystkie rekordy należące do danej osoby, lub wszystkie jeśli tą osobą jest admin.
Link jest odpalany po stronie osoby zalogowanej wiec przechodzi wszelkie autoryzacje.
GET można rozważać jeśli są jakieś tokeny, sprawdzanie czy istnieje referer itd. Tutaj nie było nic

to może być tylko Twoje przeświadczenie, póki co nie skupiałem się aż tak bardzo na stronie wizualnej, wszystko jest z bootstrapa, narazie chciałbym, żeby wszystkie funkcjonalności działały w odpowiedni sposób.



Nie rozumiem, o co chcodzi? Po co wklejać taki link w img src. Nie można stosować get do usuwania? Mam stosować tokeny, czy post?



Poprawię to.

Cieszy mnie taki feedback, nowe rzeczy do ogarnięcia.

Ten post edytował Omenomn 6.06.2015, 12:38:52

Niby nic jednak zacytuje slowa z ksiazki

To że nie powinny nie znaczy że nie mogą

@Pyton_000 Myślałęm, że tutaj się powinno pomagać tym, którzy sobie jeszcze nie radzą w temacie za dobrze a nie sugerować półśrodki czy workaround. GET nie jest do modyfikacji danych i koniec kropka. Starajmy się pokazywać dobre rozwiązania. Wiele rzeczy można zrobić na wiele sposobów, ale to wcale nie znaczy że każdy sposób jest dobry. Tutaj GET jest najgorszym z możliwych rozwiązań i usprawiedliwianie go w stylu "bo można" nie umniejsza bezsensowności tego rozwiązania :)

Xelah Idac takim tokiem rozumowania to POST tak samo nie powinien umożliwiać modyfikacji bo czym to się różni prócz tego gdzie jest przykazywany, no niczym. (A sam ten zapis jak przeczytasz go cały i w oryginale sprowadza się tylko do tego, że jak sie to zastosuje to w najgorszym wypadku można być pociągniętym do odpowiedzialności za złe jego zastosowanie i wręcz piesze że inne typy np POST itd tak samo sa niebezpieczne, tylko użytkownik nie musi być tego świadomy) Ten przykład zaproponowany przez Spawnm jest książkowym przykładem ataków na webaplikacje i niestety autoryzowanie o którym wspomina Pyton_000, często da się jednak ominąć, to zależy od tego w jaki sposób zbudowany jest nasza serwis.

Xelah tak swoją drogą to chętnie zobaczę przykład gdzie ludzie tak się do tego stosują, przeważnie usuń, edytuj itp dostają id getem

Ten post edytował com 7.06.2015, 16:00:47

@com rzeczywiście id często lecą getem, jednak z reguł lecą wtedy też tokeny czy jakieś dodatkowe zabezpieczenia

imo jest od tego kilka bardzo poważnych wyjątków

poza tym nie widzę nic złego w usuwaniu danych metodą GET

Przyznam się, tak...
Jak robiłem czat na strone to GET-em, Dla moderatorów kasowanie postów wpisów.
Ale miałem zabezpieczenie przeciw podszyciu się rangą itp.

Jednak wtedy to robiłem docelowo żeby potestować czy wszystko działa itp.
I nie przemyslalem wtedy tego, ale teraz mysle ze lepiej POST-em mimo niskiej roznicy.
Jak wiadomo utrudni to napewno i tak zabawę usera(wiekszosci).
Edytowac link to jedno, wyslac dane post-em drugie.

Hm i poza tym ladniej link wyglada

Ten post edytował Ksar 7.06.2015, 16:23:40

Spawnm owszem ale to u tych co maja jakieś pojecie o XSS, SQL Injection itd, widziałem masę rozwiązań gdzie leci samo id, ba nawet w książkach tak uczą, pomijając fakt, że sam kiedyś zdarzyło mi się zrobić takie kwiatki kiedy zaczynałem ~8 lat temu.

kayman GET jest teoretycznie łatwiej spreparować, ale jeśli chodzi o faktyczne bezpieczeństwo to nie ma to znaczenia. bo oba idą plain textem w żądaniu. Dopiero SSL można uznać za teoretycznie bezpieczny, do czasu kiedy nie znajdą kolejnego wyłomu w algorytnie

co to znaczy wdg Ciebie?

No że są schowane (niepotrzebne) rzeczy ktore domyslnie by byly w url-u.

Np zamiast

/action/delete/123

Bylo by samo
/action/delete