[www] System ogłoszeń Opcje

[Piotrbaz]

Witajcie.

Chciałbym poddać ocenie mój system ogłoszeń (tak to sobie wymyśliłem, ale mogą to być równie dobrze newsy itd). Treść można dodawać na razie w dwóch formach: tekstowej i graficznej. Tag [www] gdyż na razie nie udostępniam kodu (a tak zrozumiałem warunek na ocenę "skryptu"). O strukturze mogę powiedzieć tyle, że jest to bardzo prosty MVC. Wszystko (jeżeli chodzi o PHP) zostało napisane od zera.

Głównie zależy mi na ocenie bezpieczeństwa i funkcjonalności, więc próbujcie coś zepsuć i jeśli się uda to dajcie znać! (IMG:style_emoticons/default/tongue.gif) To dla mnie bardzo ważne.
Graficznie nie ma za bardzo czego oceniać, ale każda uwaga i sugestia mile widziana. Z założenia nie ma być to cały serwis, a tylko wydzielona część, którą można zaimplementować w istniejącym już serwisie.


===> Adres: http://pbazyl.webd.pl/ogloszenia


ps. Opcja usuń została wyłączona, żeby było co oglądać. Co jakiś czas będę przywracał bazę do oryginalnego stanu.
ps2. Kwiatki z walidatora takie jak id zamiast class w divach i inne zostaną w najbliższym czasie usunięte. Wiem, że są (IMG:style_emoticons/default/wink.gif)

Ten post edytował Piotrbaz 3.03.2013, 00:42:26

[IceManSpy]

Jak wejdziesz w dodawanie ogłoszenia i adresie:
http://pbazyl.webd.pl/ogloszenia/index.php...mp;type=picture
zmienisz type na inne, to pojawia się biała strona.

A tak, to co tu oceniać? Kilka selectów, insertów i updateów.

Ten post edytował IceManSpy 3.03.2013, 00:50:00

[Piotrbaz]

Plusik za białą stronę.

A tak, to co tu oceniać? Kilka selectów, insertów i updateów.

Głównie zależy mi na zabezpieczeniu przed atakami, szczególnie narażony tutaj jest formularz. Ale w kwestii bezpieczeństwa dopiero zaczynam i o niektórych atakach pewnie nawet nie mam pojęcia.

Jak będzie gotowy to udostępnię kod i wcale nie będzie to parę selectów instertów i updateów na krzyż (IMG:style_emoticons/default/tongue.gif)

Ten post edytował Piotrbaz 3.03.2013, 11:05:19

[Korab]

W kwestii zabezpieczeń polecam nieudostępnianie kasowania wszystkich treści innym użytkownikom.

[Piotrbaz]

Wiadoma sprawa. W połączeniu z systemem użytkowników opcje edytuj i usuń z założenia będą dostępne tylko dla autora konkretnego wpisu. Pełna kontrola dla admina.

[Damonsson]

http://pbazyl.webd.pl/ogloszenia/index.php...ion=__construct

[Piotrbaz]

Super, dzięki (IMG:style_emoticons/default/tongue.gif) Nie wpadło mi to do głowy. Przy okazji zauważyłem rozjeżdżanie się tabelki, gdy treść opisu jest zbyt krótka. Ale to drobiazg.

[Damonsson]

A to Ci psikus (IMG:style_emoticons/default/wink.gif) http://pbazyl.webd.pl/ogloszenia/index.php...ow_ad&id=18

Waliduj długość dopiero po wycięciu html tagów, bez spacji itd.

Ten post edytował Damonsson 3.03.2013, 17:19:09

[Piotrbaz]

Co z tym komunikatem o braku ogłoszenia o ID=x ? (IMG:style_emoticons/default/tongue.gif) Z założenia tak miało być (IMG:style_emoticons/default/closedeyes.gif) Przy wpisaniu losowego stringu jako akcję, też wyświetlam odpowiedni komunikat. To źle ?

[Damonsson]

Po prostu ktoś je usunął, wpisałem 20 spacji w każdym polu i przeszło walidację, a nie powinno.

póki znów ktoś nie usunie: http://pbazyl.webd.pl/ogloszenia/index.php...ow_ad&id=21

Ten post edytował Damonsson 3.03.2013, 17:26:29

[Piotrbaz]

Znowu trafiony zatopiony, spacje... (IMG:style_emoticons/default/thumbsdownsmileyanim.gif) Niestety nie mam w głowie szybkiego rozwiązania dla tego problemu, muszę coś pogrzebać w googlach. Samo trim() może być za mało. Na same spacje zadziała, ale na "s (50 spacji) s" już nie (IMG:style_emoticons/default/facepalmxd.gif)


edit: preg_replace (IMG:style_emoticons/default/guitar.gif)

=============================================


Ok, naniosłem kilka bardzo istotnych poprawek oraz dodałem trochę magii CSS3 (IMG:style_emoticons/default/guitar.gif)
Proszę o dalsze oceny i wytykanie ew. błędów, za każdy lecą plusiki (IMG:style_emoticons/default/sleep.gif)

http://pbazyl.webd.pl/ogloszenia

Ten post edytował Piotrbaz 19.03.2013, 18:45:19

[Damonsson]

Używasz PostgreSQL?

[!*!]

3 połączenia z bazą przy prostej liście? Poza tym zabezpiecz to jakoś, bo wysyłając ogłoszenie w połączeniu z F5, robi się syf. Tak samo jest możliwość użycia html/css.

Ten post edytował !*! 21.03.2013, 10:09:32

[Piotrbaz]

Używasz PostgreSQL?

Nie, MySQL. Dlaczego?

3 połączenia z bazą przy prostej liście?

3 zapytania (IMG:style_emoticons/default/tongue.gif) No tak na razie to wygląda, jedno zapytanie wybiera dane ogłoszeń z różnych tabel, jedno pobiera listę dostępnych kategorii, a jedno szybkie pobiera liczbę wszystkich ogłoszeń, wykorzystywaną do stronicowania/paginacji. Nad tym ostatnim jeszcze będę mocno myślał.


Dzięki za zwrócenie uwagi na F5 i CSS. Tylko nie wiem czy po prostu wyrzucać "style=xxxxxx" przy użyciu preg_replace, czy zastosować jakąś ogólniejszą metodę. Myślałem, że strip_tags() zrobi robotę (IMG:style_emoticons/default/facepalmxd.gif)

p.s. OK, do wieczora możliwość dodawania nowego wpisu wyłączona

Ten post edytował Piotrbaz 21.03.2013, 13:23:09