[PHP][MYSQL]Pomoc z komentarzami Opcje

[Strarus]

cześć:)
Chciałbym prosić o ocenę (także w komentarzach (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) ) mojego systemiku komentarzy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

http://www.comments.yoyo.pl/

Ten post edytował Strarus 12.12.2008, 10:40:51

[wookieb]

... Boże ratuj. Mamy oceniać "pustą" stronę? Może być sypnął kodem?
A co do kodu twojej strony to tragedia o której wołalem do Boga w pierwszym zdaniu.

Jak da się zalogować to zapodaj konto testowe.

[Strarus]

KOD:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Komentarze v3</title>
<meta http-equiv="content-type" content="text/html; charset=iso-8859-2" />
<meta name="Keywords" content="komentarze" />
<meta name="description" content="System komentarzy oparty o MySQL" />
<link rel="stylesheet" type="text/css" href="style.css" />
      <script type="text/javascript">
function hl(t,c) {
   if(c) {
       t.style.border='1px solid lightgreen';
   } else {
       t.style.border="1px solid steelblue";
   }
}
</script>
</head>
<body>
<?php if (isset($_GET['add'])):
?>
 
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
<center><table border="0" class="tabelka">
 <tr>
  <td>
   Nick:
  </td>
  <td>
   <input class="name" type="text" name="nick" style="width: 100px;" onmouseover="hl(this,true)" onmouseout="hl(this,false)" maxlength="12"/>
  </td>
 </tr>
 <tr>
  <td>
  Wpisz tutaj swój komentarz:
  </td>
  <td>
   <textarea name="content" class="content" onmouseover="hl(this,true)" onmouseout="hl(this,false)" rows="3" cols="40"></textarea>
  </td>
 </tr>
 <tr>
  <td>
   WWW: (Bez przedrostka <i>http://</i>)
  </td>
  <td>
   <input class="stronka" type="text" name="www" onmouseover="hl(this,true)" onmouseout="hl(this,false)" style="width: 200px;" maxlength="32"/>
  </td>
 </tr>
 <tr>
  <td>
   <input type="hidden" name="ip" value="<?php echo $_SERVER['REMOTE_ADDR']; ?>"/>
  </td>
  <td>
   <input type="submit" value="AKCEPTUJ" />
  </td>
 </tr>
</table></center>
</form>
<?php else:
 
  $baza = @mysql_connect('**********', '*******', '********'); // Dane do połączenia z MySQL
  if (!$baza) {
    exit('<p>W tej chwili nie można nawiazać ' .
        'połaczenia z serwerem bazy danych.</p>' );
  }
  if (!@mysql_select_db('*******')) { // Nazwa bazy danych
    exit('<p>Nie można w tej chwili ' .
        'zlokalizować bazy danych.</p>');
  }
  if (isset($_POST['content'])) {
    $content = strip_tags($_POST['content']);
    $ip = $_POST['ip'];
    $nick = strip_tags($_POST['nick']);
    $www = strip_tags($_POST['www']);
    $data = date('d.m.Y H:i:s');
    $sql = "INSERT INTO comments SET
        content='$content',
        www='$www',
        ip='$ip',
        nick='$nick',
        data='$data'";
    if (@mysql_query($sql)) {
      echo '<p>Twój komentarz został dodany. Dziękuję!</p>';
    } else {
      echo '<p>Bład podczas dodawania komentarza: ' .
          mysql_error() . '</p>';
    }
  }
  if (isset($_GET['delete'])) {
    $id = $_GET['delete'];
    $sql = "DELETE FROM comments
        WHERE id=$id";
    if (@mysql_query($sql)) {
      echo '<p>Komentarz został usunięty.</p>';
    } else {
      echo '<p>Bład podczas usuwania komentarza: ' .
          mysql_error() . '</p>';
    }
  }
  echo '<p>Aktualne komentarze:</p>';
 
  $result = @mysql_query('SELECT * FROM comments ORDER BY id DESC');
  if (!$result) {
    exit('<p> Bład podczas wykonywania zapytania: ' . mysql_error() . '</p>');
  }
  while ($row = mysql_fetch_array($result)) {
    $date = $row['data'];
    $nick = $row['nick'];
    $www = $row['www'];
    $ip = $row['ip'];
    $id = $row['id'];
    $content = $row['content'];
    $explode = explode(".", $ip);
    $ip = $explode[0].".".$explode[1].".".$explode[2].".xxx";
 
    session_start();
    if($_SESSION['zalogowany']) {
   $usun =  '<a href="' . $_SERVER['PHP_SELF'] .'?delete=' . $id . '"><img border="0" class="left" src="delete.png" alt="Usuń!" /></a>';
 }
else {
  
 $usun = '';
 
}
     echo '<center><table class="comment3">
<tr>
<td><font class="nick"><b>Dodane przez: </b>' . $nick . '</font></font><font class="date"><b>Dnia: </b><i>' . $date . '</i></font></td>
</tr>
</table>
<table class="coment">
<tr>
<td><font class="nick"><b>Komentarz:&nbsp</b></font><font class="comments_news">' . $content . '</font></td>
</tr>
</table>
<table class="coment2">
<tr>
<td><font class="www"><b>www: </b><a target="_blank" href=" . $www . ">' . $www . '</a></font><font class="ip"><b>IP: </b>' . $ip . '</font></td>
</tr>
</table>' . $usun . '<br /><br /></center>';
  }
 
   
 endif;
?>
<br /><br /><p><a href="<?php $_SERVER['PHP_SELF']; ?>?add=1"><img border="0" src="add.png" alt="Dodaj!" /></a></p>
<?php
if($_SESSION['zalogowany']) {
   echo  '<a class="strona" href="logout.php"><img border="0" src="logout.png" alt="Wyloguj!" />Wyloguj!</a>';
 }
else {
  
 echo '<a class="strona" href="login.php"><img border="0" src="login.png" alt="Zaloguj!" />Zaloguj!</a>';
 
}
 
 
?>
</body>
</html>
[PHP] pobierz, plaintext 

To nie jest panel, tylko możliwość usuwania (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) Hasło: passwd

[phpion]

Po kiego ci logowanie skoro i tak można usunąć wpis bez logowania? :|

[Strarus]

W sensie, że przez phpMyAdmin??

[phpion]

W sensie, że przez phpMyAdmin??

http://www.comments.yoyo.pl/index.php?delete=1
Nie chce mi się szukać konkretnych ID do usunięcia ale po kodzie widać, że nie sprawdzasz zalogowania przed usunięciem.

//Edit:
Właśnie wywaliłem ci wszystkie komentarze. Bez logowania. Jak?
http://www.comments.yoyo.pl/index.php?delete=1%20OR%201=1

Ten post edytował phpion 12.12.2008, 10:14:58

[wookieb]

Kod php kolejna tragedia.
Nawet nie wiem czy ci zadziała session_start().
A dlaczego? To sobie już poszukaj w manualu. Ocena 2/10 za wygląd formularza do komentowania.

Ja rozumie dobre chęci, ale jeżeli potrzebujesz pochwały to pochwała od siebie samego powinna ci wystarczyć. Jeżeli coś będzie naprawdę dobre to cię pochwali ktoś z zewnątrz.

Mały faq na twoje przypuszczalne pytania:
1). Co jest źle?
Napewno wywal logowanie, i popraw wcięcia w kodzie
2) Co jeszcze?
Wszystko
3) Dlaczego wszystko?
Bo jesteśmy w erze programowania projektowego a programowanie strukturalne jest głównie do ćwiczeń i tego się trzymajmy

Ten post edytował wookieb 12.12.2008, 10:14:35

[Strarus]

@phpion czyli muszę dać na POST usuwanie?

[phpion]

@phpion czyli muszę dać na POST usuwanie?

Musisz poczytać o bezpieczeństwie (szczególnie: SQL Injection) oraz wykorzystać logowanie (sprawdzenie, czy user jest zalogowany) przy usuwaniu komentarzy.

[Strarus]

Jeszcze jedno: coś mi nie działa to usuwanie? Na cba działało a tu nie? Zero zmian kodu, a nie działa? Po prostu nie znajduje ID. Jak to załatwić?

[mike]

1. Nie ma tu nic do oceny. Przenoszę wątek na Przedszkole.
2. Proszę nadać mu inny tytuł.

[Strarus]

cześć:)
Chciałbym abyście ocenili mój systemik komentarzy po drobnej modernizacji (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

http://strarus.cba.pl/index.php

Hasło: passwd

Proszę o ocenę:
a) Wyglądu strony
cool.gif Bezpieczeństwa strony [tzn. możliwość manipulowania komentarzami bez zalogowania]
c) Możliwości i funkcjonalności

Liczę na Wasze opinie i rady odnośnie tego co powinienem dodać, ująć, ulepszyć (IMG:http://forum.php.pl/style_emoticons/default/haha.gif)

ref

Ten post edytował Strarus 13.12.2008, 18:54:40

[nospor]

yyyy, a co to za logowanie tylko hasłem? A gdzie login? Jak sobie wyobrażasz konta uzytkowników?

Kolejna sprawa: mozna wstrzyknac kod js (dalem alert(2)) przez co bezpieczenstwo tego skryptu mozna do kosza wyrzucic.

Po tych kwiatkach nie chce mi sie juz nic sprawdzac

[Strarus]

tak ,zauważyłem komunikat "2" (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jak mogę zabezpieczyć skrypt przed takim czymś?? używam przecież funkcji strip_tags do każdego z pól ? ap ropo logowania myślałem na logowaniem z bazą tzw. loginy i hasła były by przechowywane w bazie danych (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

PS. Ty to zrobiłeś przez panel edycji posta chyba... a tam specjalnie zostawiłem pole content bez strip_tags aby można potem w razie kradzieży skryptu komuś namieszać na stronie (IMG:http://forum.php.pl/style_emoticons/default/haha.gif)

Ten post edytował Strarus 13.12.2008, 19:10:06

[nospor]

PS. Ty to zrobiłeś przez panel edycji posta chyba... a tam specjalnie zostawiłem pole content bez strip_tags aby można potem w razie kradzieży skryptu komuś namieszać na stronie

Ales namieszal... normalnie brak slow... (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Nie ma to jak logiczne myslenie: dodanie zabezpiecze, ale edycji już nie. Przeciez nikt przy zdrowych zmyslach nie hakuje podczas edycji....

[Strarus]

czemu namieszałem?? a inne aspekty mojego skryptu??

[nospor]

czemu namieszałem??

Przeciez sam napisales:

aby można potem w razie kradzieży skryptu komuś namieszać na stronie

No i mowie: to komuś namieszasz takim kodem. Zamiast mysleniem o mieszaniu, zajmij sie lepiej mysleniem o bezpieczenstwie twojego skryptu. Szukaniem naiwniakow co bedą chcieli "ukraść" ci skrypt bedziesz sie martwil za pare lat (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)