Forum PHP.pl

Forum PHP.pl > Inne > Oceny

3 Stron

1 2 3 >

Reply to this topic

Start new topic

Piórko CMS, CMS lekki jak piórko

ZeTu Zobacz profil	25.01.2012, 00:42:01 Post #1
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	Witam Wykonałem CMS'a i prosiłbym o jego ocenę, jest to mój pierwszy CMS przy pomocy MySQL. Może szablony zrobiłem takie nie zbyt ładne, ale to tylko prezentacja demo CMS'a. Demo: http://cms.karol-drag.eu/demo_v1/ Ten CMS, zajmuje tylko 142KB (bez szablonów), a jego funkcje to: Edycja strony głównej Dodawanie, edytowanie i usuwanie podstron Dodawanie, edytowanie i usuwanie linków w menu Formularz kontaktowy Możliwość dodania własnego: Logo Favicon Zrzut ekranu (który jest widoczny, np po wrzuceniu linku na facebook'a) Szablonu Dodatkowo można dodać własne pola w <head></head> Dodałem jeszcze stronkę z nowościami. Demo: http://cms.karol-drag.eu/demo_v1/ Ten post edytował Daiquiri 25.01.2012, 08:14:34 Powód edycji: [Daiquiri]: Przenoszę do odpowiedniego działu.

askone Zobacz profil	25.01.2012, 07:44:40 Post #2
Grupa: Zarejestrowani Postów: 654 Pomógł: 121 Dołączył: 27.10.2007 Skąd: Poznań, Łódź Ostrzeżenie: (0%)	Wszystko fajnie, ale skoro piszesz że szablon zbudowałeś tylko na potrzeby demo to co niby mamy oceniać? Może udostępnisz jakieś konto demo admina abyśmy mogli zajrzeć "do środka" Pozdrawiam

ZeTu Zobacz profil	25.01.2012, 08:29:02 Post #3
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	Wystarczyło wejść na stronke, której link podałem, to byś wiedział, że jest tam podany login i hasło. Albo po prostu weszłeś na stronke a nie czytałeś co tam jest napisane.

nospor Zobacz profil	25.01.2012, 08:37:38 Post #4
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	ałć.... Zetu mam dla Ciebie złą wiadomość. Na ten twój panel admina można wejść bez znajomości loginu i hasła :/ Ja rozumiem, że chciałeś to mieć lekkie jak piórko, ale podstawowe zabezpieczenia to wypadałoby wprowadzić. O samym cms: nie podoba mi się. Tworzę nową podstrone i nie mam wpływu na jej adres. Ty mi sam przypisujesz adres jako kolejny numer porządkowy :/

ZeTu Zobacz profil	25.01.2012, 15:55:46 Post #5
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	No to jak mam zabezpieczyć?

nospor Zobacz profil	25.01.2012, 17:01:16 Post #6
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Poczytaj o sqlinjection

ZeTu Zobacz profil	25.01.2012, 17:12:43 Post #7
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	Wyczytałem na jednej stronie, że takie coś może zapobiec włamaniom. Czy na pewno jest to skuteczny sposób? [PHP] pobierz, plaintext if (!ereg('^\d+$', $id)) { // obsługa niepoprawnych danych } [PHP] pobierz, plaintext

nospor Zobacz profil	25.01.2012, 17:14:07 Post #8
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Wrzucasz kawałek kodu, ktory nie wiesz co robi. Ten kawałek kody sprawdza czy dane id to liczba czy nie. Jak to ma sie do hasla i loginu? Nijak. Poczytaj o sqlinjection. Pełno tego w necie, pełno na naszym forum.

ZeTu Zobacz profil	25.01.2012, 17:37:38 Post #9
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	A przy użyciu "mysql_real_escape_string"?

nospor Zobacz profil	25.01.2012, 17:38:21 Post #10
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	zdecydowanie cieplej, jakies 90stopni.

ZeTu Zobacz profil	25.01.2012, 17:43:13 Post #11
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	Czy chodzi o taki kod? [PHP] pobierz, plaintext $var = mysql_real_escape_string( htmlspecialchars( addslashes( $var ) ) ); [PHP] pobierz, plaintext

nospor Zobacz profil	25.01.2012, 17:47:05 Post #12
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	htmlspecialchars( addslashes - jest totalnie zbędne

ZeTu Zobacz profil	25.01.2012, 17:56:22 Post #13
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	A teraz ? [PHP] pobierz, plaintext $var = mysql_real_escape_string( pg_escape_string( $var ) ); [PHP] pobierz, plaintext

skowron-line Zobacz profil	25.01.2012, 18:00:38 Post #14
Grupa: Zarejestrowani Postów: 4 340 Pomógł: 542 Dołączył: 15.01.2006 Skąd: Olsztyn/Warszawa Ostrzeżenie: (0%)	Cytat(ZeTu @ 25.01.2012, 17:56:22 ) A teraz ? [PHP] pobierz, plaintext $var = mysql_real_escape_string( pg_escape_string( $var ) ); [PHP] pobierz, plaintext Teraz to błysnąłeś Cytat This function requires PostgreSQL 7.2 or later. znasz odrobinę angielski (IMG:style_emoticons/default/questionmark.gif) Zacznij czytać co jest napisane w manualu a nie na głupa będziesz wpisywał funkcje i pytał czy to zadziała. Poczytaj co jest źródłem problemu i jak temu zaradzić w temacie o sqlinjection jest napisane jak się przed tym zabezpieczyć Ten post edytował skowron-line 25.01.2012, 18:02:07

ZeTu Zobacz profil	25.01.2012, 18:02:16 Post #15
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	No to jak mam to zrobić?

skowron-line Zobacz profil	25.01.2012, 18:05:38 Post #16
Grupa: Zarejestrowani Postów: 4 340 Pomógł: 542 Dołączył: 15.01.2006 Skąd: Olsztyn/Warszawa Ostrzeżenie: (0%)	Cytat(ZeTu @ 25.01.2012, 18:02:16 ) No to jak mam to zrobić? http://forum.php.pl/index.php?showtopic=23258 przeczytaj i się dowiesz.

ZeTu Zobacz profil	25.01.2012, 18:08:58 Post #17
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	czytałem, ale pierwszy komentarz nie zbyt zadowala i dlatego nie wiem, czy to co opisuje autor postu jest prawidłowe.

IceManSpy Zobacz profil	25.01.2012, 19:56:01 Post #18
Grupa: Zarejestrowani Postów: 1 006 Pomógł: 111 Dołączył: 23.07.2010 Skąd: Kraków Ostrzeżenie: (0%)	A przeczytałeś trochę więcej niż 1 stronę? Co się dowiedziałeś o sqlinjection? Jak na razie, to widać tylko lenistwo.

ZeTu Zobacz profil	25.01.2012, 20:40:11 Post #19
Grupa: Zarejestrowani Postów: 217 Pomógł: 8 Dołączył: 8.12.2010 Ostrzeżenie: (0%)	Przeczytałem ok. 12 stron. Sqlinjection zagląda nam do MySQL i wyciąga dane, można też usuwać i zmieniać dane w MySQL, czyli włamywanie się do bazy po przez zwykły formularz który nie zamienia ' i " na znaki tylko odczytuje je jako fragment kodu w php np. gdy w formularzu dopiszemy taki fragment [PHP] pobierz, plaintext x';DROP TABLE uzytkownicy; SELECT '1 [PHP] pobierz, plaintext Czyli w ttym przypadku usunie tabele o nazwie uzytkownicy. Dobrze myśle? A więc czy powinienem użyć [PHP] pobierz, plaintext $text = htmlspecialchars($text, ENT_QUOTES); [PHP] pobierz, plaintext i [PHP] pobierz, plaintext $text = mysql_real_escape_string($text); [PHP] pobierz, plaintext Czy jeszcze to nie to?

IceManSpy Zobacz profil	25.01.2012, 20:45:20 Post #20
Grupa: Zarejestrowani Postów: 1 006 Pomógł: 111 Dołączył: 23.07.2010 Skąd: Kraków Ostrzeżenie: (0%)	htmlspecialchars wystarczy.

« Następny starszy · Oceny · Następny nowszy »

3 Stron

1 2 3 >

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.08.2025 - 20:38

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn