Forum PHP.pl

Witam, chciałbym, abyście ocenili mój nowo powstały skrypt forum z auto - instalacją

Skrypt był zintegrowany z portalem, lecz w związku z zainteresowaniem szerszego grona użytkowników postanowiłem wypuścić go w wersji instalacyjnej.

http://znajomek.unixstorm.org/forum/phpforum.zip



--
Jeżeli temat jest niezgodny z regulaminem/narusza go, proszę o usunięcie

Ok błędy jakie zauważyłem w ciągu kilku minut od ściągnięcia:
-hasła w bazie trzymane gołą md5
-złe kodowania plików (sporo w ansii)
-używanie krótkich tagów "<?" na przemian z "<?php", ja mam np. wyłączone krótkie tagi
-nie sformatowany kod, przez co nieczytelny, używaj tabulatorów (a raczej spacji)
-źle rozplanowana baza błędy z cyklu:
--przy md5 hasło może mieć 32 znaki, a pole jest ustawione na varchar z 255 znakami
--daty zapisywane w varchar...
--w miejscach gdzie powinine być tinyint/enum używane inty
--w miejscach gdzie powinny być tiny int są varchary (np. poziom)
--brak relacji. Np w tematach zamiast powiązać autora z tematem jest zapisywane jego login w pełnej postaci, dodatkowo treść tematu to varchar...
-po instalacji dziesiątki noticów na głównej
-logowanie kieruję na jedną stronę i nie powraca
Edit. Kilka uwag wysyłam na pw.

Jak dla mnie 0/10

Ten post edytował lobopol 11.12.2011, 15:24:30

kodu nie mogę pobrać, wersja live... masakra.

- brak doctype
- złe kodowanie, powinno być utf-8
- praktycznie same tabele

I w zasadzie tyle od strony wizualnej, Ocena -30/10

skrypt: http://znajomek.unixstorm.org/checker

na jakiej podstawie oceniasz -30/10, czy tylko dlatego, że na tabelkach ?

Jak patrzę to nadal podatne na ataki i część plików ma złe kodowanie.

Atakuj, śmiało.
iso-8859-2 -> złe kodowanie?

plik index php, tak samo install.php kodowanie ansii,

install.php się nie używa, dzięki za uwagi na pw

Tak, tylko i głównie dlatego. Skrypt jest raczej Twoją wersją ćwiczebną, czegoś co pierwszy raz napisałeś i jest to coś 'większego'? Jeśli tak to ok.

Jednak ma to raczej rangę "księgi gości" jakie można spotkać w necie z lat 90.
Mało kto się zainteresuje tym skryptem, ponieważ:

- strukturalny kod jest mało optymalny pod względem modyfikacji
- wszytko jest po polsku, kod raczej piszemy w języku angielskim
- brak dokumentacji, opisu co robi dany fragment/funkcja
- brak oddzielenia kodu php od html
- przy łączeniu z bazą wykorzystujesz jakieś śmieszne funkcje "zapytaj" i łączysz się przez mysql_* a dzisiaj PDO to standard

kod:

[PHP] pobierz, plaintext 
<?
 
  if(!empty($_POST['sub']))
  {
$plik=fopen('config.php', "w");
fwrite($plik, $tekst);
fclose($plik);
 
$dane = '
<?php
[PHP] pobierz, plaintext 

fopen przy czymś tak prostym? są inne funkcje do tego, ale się czepiam, już pominę fakt że wczytujesz plik który nic nie zawiera.

- źle zamykasz i otwierasz znaczniki, ale o tym już Ci ktoś napisał.

Ogólnie... nadal twierdzę że -30/10 to i tak wysoko nikt nie użyje tego na poważnie, ponieważ nie ma w tym skrypcie niczego, co byłoby przydatne, a nie można by napisać samemu i lepiej.

Edycja:

I co najważniejsze. To w ogóle nie ma żadnych zabezpieczeń.
Kompletnie nie masz pojęcia o projektowaniu baz danych. Zakochałeś się w 'varchar' ?

Można by tak wymieniać wad bez końca, ponieważ jeszcze ich trochę zostało jednak szkoda czasu. Skrypt jest po prostu marnej jakości.

Ten post edytował !*! 11.12.2011, 23:23:49

A gdzie to jest,napisane?Dla mnie jak kto woli.

varchar(999) i varchar(9999) he?

zabezpieczen praktycznie zero, gole zmienne ida prosto do bazy i to wszedzie praktycznie.

przy rejestracji 4 zapytania do tabeli uzytkownicy, po co az tyle?

trzeba się niestety zgodzic ze to forum nie nadaje się do uzycia

Jako config nie prościej dać .ini ? Łatwiej edytować i nie musisz robić czegoś takiego:

[PHP] pobierz, plaintext 
$dane = '
<?php
 
 
/********* plik konfiguracyjny FORUM znajomka *****/
 
$host 		= \''.$_POST['host'].'\';
$user 		= \''.$_POST['user'].'\';
$haslo		= \''.$_POST['haslo'].'\';
$baza_danych	= \''.$_POST['baza'].'\';
 
?>
';
[PHP] pobierz, plaintext 

Bany wyrzuć do osobnej tabeli, o typach nie wspominam bo już było.

Jeżeli ustawiasz np.

[SQL] pobierz, plaintext 
`ban_zmysli` int(1) NOT NULL DEFAULT '0',
[SQL] pobierz, plaintext 

Skoro not null to jak default?

W ogóle co oznaczają pola:

• ban_zmysli
• blokada_fast_wysz
• reg
• offic
• flood_g
• flood_m
• flood_s
• limit_z
• sendmail

Tak zostało przyjęte, Język angielski jest podstawowym językiem w programowaniu jak i w informatyce. Grzebałbyś w kodzie który jest napisany po hiszpańsku czy rosyjsku? Tak samo nikt nie będzie grzebał w kodzie napisanym po polsku, szczególnie że większe serwisy, które magazynują kod otwarty, nawet go nie przyjmą, już nie wspominając o firmach, które chciałby go np. kupić.

Ten post edytował !*! 16.12.2011, 12:27:59