firany-sklep.pl - Własny CMS sklepu internetowego Opcje

[joordan]

Skrypt pisany w dużym pośpiechu, dla rodzinnej działalności.

Czekam na oceny. (IMG:style_emoticons/default/tongue.gif)

firany-sklep.pl

Ten post edytował joordan 23.05.2013, 20:20:58

[pyro]

Jakby to były lata 90-te to byłoby ok.

[Spawnm]

Baner paskudy. Menu się sypie na ff/ubuntu
Formularz rejestracji ma dziwne filtrowanie. Wpiszcie sobie ">lol

[joordan]

Baner paskudy. Menu się sypie na ff/ubuntu
Formularz rejestracji ma dziwne filtrowanie. Wpiszcie sobie ">lol

Dzięki że napisałeś zaraz tam dam striptag

Wiem że baner paskudny ale musiało być te logo siła wyższa (IMG:style_emoticons/default/tongue.gif)

sypie ci się górne menu...?

Jakby to były lata 90-te to byłoby ok.

Rozwiń myśl prostota nie zawsze musi być zła (IMG:style_emoticons/default/tongue.gif)

[alex011251]

Striptag...

Ogolnie masz wszedzie takie bledy ze gdybym widzial sens to bym ci w 5min cala stronke skasowal. Dziura na dziurze

[joordan]

Striptag...

Ogolnie masz wszedzie takie bledy ze gdybym widzial sens to bym ci w 5min cala stronke skasowal. Dziura na dziurze

Pisz na priv co i gdzie. Ja nie widzę tych dziur...



Ten post edytował joordan 24.05.2013, 16:57:45

[usb2.0]

no nawet 404 nie ma? ; {

[joordan]

no nawet 404 nie ma? ; {

Heh ciekawe jak się tam znalazłeś (IMG:style_emoticons/default/tongue.gif)

[alex011251]

PS:
Jak mi piszesz PW to nie zadawaj pytan wyrwanych z kontekstu ws tylu "Choci ci o sesje? Bo skad mam wiedziec skad po co i w jakim temacie piszesz.

Wydaje mi się że lejesz wodę i nie masz zbytnio pojęcia o czym mówisz.. Bo gdyby tak nie było pisał byś konkrety....

Kolejny z zerem Pokory



Nie powinienes tworzyc filtra nie pozwalaj na. Tylko lepiej zastosowac pozwol na ;]

Bo w tym przypadku zabraniasz na wstawianie liter ale niw filtrujesz wszystkiego

http://firany-sklep.pl/index.php?so=1&...p;kat=5&s=0

Uzyj htmlspecialchars i addshlashes

Strona podatna na Sql.injection. Wiec jak najbardziej bym mogl sie wlamac



dodam ze za testy penetracyjne sie placi

Ten post edytował alex011251 24.05.2013, 09:12:41

[!*!]

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/firanysk/domains/firany-sklep.pl/public_html/index.php on line 820

Że też ludzie uwielbiają zdradzać swój login do panelu. To kto teraz odgadnie hasło? Czas start.

Masz coś nie tak z linkami http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-6.html

[joordan]

Człowiek uczy się na błędach (IMG:style_emoticons/default/tongue.gif)

Nie odczytałem wiadomości do końca ograniczenie ilości znaków w rekordzie tablicy sql. Kto był taki mądry...? (IMG:style_emoticons/default/tongue.gif)

[klocu]

Po wywołaniu takiego adresu: http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-9.html
Dostałem to: brak strony lub pruba włamania.

Może coś innego, albo chociaż poprawnego pod kątem ortografii?
A teraz coś większość podstron sypie 404.

--
A pod kątem wyglądu:
- brzydki formularz rejestracji
- w kontakcie brak mapki albo jakiegoś innego zdjęcia, które obrazuje lokalizację
- regulamin - tzn jest czy go nie ma, bo obecne zapisy w zasadzie to niczego nie precyzują
- treść, a w zasadzie jej brak

Ten post edytował klocu 24.05.2013, 10:48:53

[alex011251]

Człowiek uczy się na błędach (IMG:style_emoticons/default/tongue.gif)

Nie odczytałem wiadomości do końca ograniczenie ilości znaków w rekordzie tablicy sql. Kto był taki mądry...? (IMG:style_emoticons/default/tongue.gif)

A co do ogolnie sesji o ktorej wspomnialales. Nie mam czasu sie teraz w tymgrzebac. Ale uprzedzajc nie wiem czy dales czy nie . Ale jak by co daj session regenerate i time

@up

A wlasnie. Podsumowujac kolege wyzej.
A. Ma sie to podobac odwiedzajacym a nie tobie. Bo ty mozesz miec gust ustosunkowany jako 1% .
B. Jezeli klient juz tak chcial jego sprawa. Chyba ze to twoj pomysl

Ten post edytował alex011251 24.05.2013, 10:51:11

[Japszczur]

Wywala error 404 więc chyba już skończona ocena.

[!*!]

Skasowaliście mu stronę? Łobuzy.

[joordan]

Jak to możliwe że jest podatna na sql injection skoro w każdym wejściu do sql jest "mysql_real_escape_string"

[!*!]

Jak to możliwe że jest podatna na sql injection skoro w każdym wejściu do sql jest "mysql_real_escape_string"

Temat: Walidacja danych

[joordan]

Skasowaliście mu stronę? Łobuzy.

Nie, zmieniłem adres (IMG:style_emoticons/default/tongue.gif)

Zrobiłem kopie sql i tp (IMG:style_emoticons/default/tongue.gif) na wszelki wypadek

Macie bawcie się (IMG:style_emoticons/default/tongue.gif)


Może mnie ktoś uświadomić

Jak ktoś zmienił wpis w sql

Przecież to jest niemożliwe (IMG:style_emoticons/default/ohmy.gif)

Gdy ja próbuję modyfikować zapytanie przez zmienne post get nic się nie dzieje...

Ten post edytował joordan 24.05.2013, 11:11:28

[alex011251]

hahhaha. Jak nie mozliwe?(IMG:style_emoticons/default/questionmark.gif) Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
<?php
class security {
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	function html($value) {
		$value = htmlspecialchars($value);
		return $value;
	}
 
	function addsql($value) {
		$value = addslashes($value);
		return $value;
	}
 
	function strip($value) {
		$value = stripslashes($value);
		return $value;
	}
 
	function all($value) {
		$value = addslashes(htmlspecialchars($value));
		return $value;
	}
}
?>
[PHP] pobierz, plaintext 

Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
$dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext 

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy (IMG:style_emoticons/default/smile.gif) )





///. H

Ten post edytował alex011251 24.05.2013, 12:07:27

[Damonsson]

Rozumiem, że powyższy post jest ironią?

[alex011251]

Rozumiem, że powyższy post jest ironią?

W zadnym wypadku (IMG:style_emoticons/default/smile.gif) )

[!*!]

@alex011251 - ale Ty to mu na serio polecasz, bo po odpowiedziach sądzę że robisz sobie jaja. Co zresztą tłumaczyłoby "jakość" ewentualnego "audytu" sądząc po klasie.

[alex011251]

Fakt dawno ja pisalem. Ale zabezpiecza jak nalezy.

Podaj mi co w tej klasie jest nie tak.

[!*!]

@alex011251 - wszystko. Przejdź na PDO z bindowaniem i całość Ci nie będzie potrzebna, no może poza htmlspecialchars w porywach (nie licząc walidacji).

Ten post edytował !*! 24.05.2013, 12:15:15

[alex011251]

Dlatego napisalem ze to moja stara klasa. Zabezpiecza? : Zabezpiecza.

Kto stosuje jaka biblioteke , jaki styl tak naprawde jego sprawa.
Wazne ze zabezpiecza :PPP

[!*!]

Dlatego napisalem ze to moja stara klasa. Zabezpiecza? : Zabezpiecza.

Kto stosuje jaka biblioteke , jaki styl tak naprawde jego sprawa.
Wazne ze zabezpiecza :PPP

Nie widzę tam nic, co by zabezpieczało dane w 100% przejrzyj link wyżej jaki podałem, jest tam odnośnik który to opisuje.
mysql_ jest na wylocie, więc trudno Ci będzie pisać w tym w przyszłości.

[alex011251]

Ja tam nigdy nie bylem przekonany do PDO i z tego korzystac nie zamierzam. Jak ktos chce niech korzysta.
Jak dalej nie pokazales mi przykladu w ktory bys obszedl moja klase (IMG:style_emoticons/default/smile.gif)

Jedi stosuja PDO inni MySQLi a inni co innego, moim zdaniem PDO jest bardziej dziurawe, bo nie ma czegos do wszystkiego a jezeli jest to jest nie dopracowane, jak masz MySQLi to masz MYSQLi , a jak PDO ktoe jest do wszystkiego to wiadomo ze cos moze byc nie tak.

Ten post edytował alex011251 24.05.2013, 12:40:22

[joordan]

hahhaha. Jak nie mozliwe?(IMG:style_emoticons/default/questionmark.gif) Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
<?php
class security {
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	function html($value) {
		$value = htmlspecialchars($value);
		return $value;
	}
 
	function addsql($value) {
		$value = addslashes($value);
		return $value;
	}
 
	function strip($value) {
		$value = stripslashes($value);
		return $value;
	}
 
	function all($value) {
		$value = addslashes(htmlspecialchars($value));
		return $value;
	}
}
?>
[PHP] pobierz, plaintext 

Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
$dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext 

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy (IMG:style_emoticons/default/smile.gif) )





///. H

Tak szczerze to pisałem bez prawie żadnych include typu header footter. Jedynej klasy jakiej użyłem to phpmail.

Rozumiem że jednym z moich problemów jest użycie srip_tag zamiast addslashes...?

Czy addslashes to wystarczające zabezpieczenie przed xss...?

Aktualnie czytam o PDO

[alex011251]

We wszystkich polach GET_ jak i POST_ powinienes stosowac htmlspecialchars i addshlashes.
Dlatego gdyz addshlashes dodaje znaki slasha "/" do zapytan sql . A htmlspecialchars usuwa znaki typu <script> itd.


Daj se spokoj z PDO. Wiecej w tym dziur niz w durszlaku mojej babci

Ten post edytował alex011251 24.05.2013, 12:45:27

[Damonsson]

Choćby głupie z przykładu:

[PHP] pobierz, plaintext 
$_POST['email'] = '123; DELETE FROM users'
[PHP] pobierz, plaintext 

choć mysql_query nie powinno przepuścić więcej niż 1 zapytania.

Nie słuchaj @alex011251, nie ma pojęcia o czym pisze.

Ten post edytował Damonsson 24.05.2013, 12:51:41

[joordan]

function html($value) {
$value = htmlspecialchars($value);
return $value;
}

function addsql($value) {
$value = addslashes($value);
return $value;
}

function strip($value) {
$value = stripslashes($value);
return $value;
}

Jest sens pisać jeszcze raz to samo żeby mniej zajmowało miejsca zmaist stripslashes($value) strip($value)...?

rozumiem że addsql nie służy do GET POST...?

[alex011251]

Choćby głupie z przykładu:

[PHP] pobierz, plaintext 
$_POST['email'] = '123; DELETE FROM users'
[PHP] pobierz, plaintext 

Nie słuchaj @alex011251, nie ma pojęcia o czym pisze.

Dlatego przed tym masz dodana klase ktora zabezpiecza przed tym . A ty pokazujesz czesc kodu usuwajac klase security.


Joordan powyzsza klasa jest na rozne przypadk rozne prywatne zastosowania. tak naprwde wystarczy ci funkcja all w moje klasie.


Nie powinno?(IMG:style_emoticons/default/questionmark.gif) ? haha. Nie no. Nie nie powinno tylko nie przepuszcza

Ten post edytował alex011251 24.05.2013, 12:55:11

[Damonsson]

Nie zabezpiecza przed tym. Po prostu wykona się tylko 1 zapytanie, zapomniałem.

[joordan]

Moje tematy robią furorę na tym forum (IMG:style_emoticons/default/tongue.gif)

[alex011251]

Bo to takie czcze gadanie. Bo to jest lepsze a to nie. Klotnia jak windows czy linux. Zalosne.


Dziala i spelnia standardy programowania wszelakie. A skoro ktos woli PDO to jego sprawa.

Korzystaj z tej klasy. Nie wierzysz ze bezpieczna to potestuj nie wrzucal bym ci czegos czego nie jestem pewien.


Pozdrawiam

[joordan]

Tutaj nie powinien być addslashes zamiast stripslashes, Nierozumiem...

[PHP] pobierz, plaintext 
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
[PHP] pobierz, plaintext 

Do sql nie powinien być zapisywany tekst w formie <P id/=/'awe/'>
A z sql wczytywany z addslashes

Zamiast htmlspecialchars nie lepiej urzyć strip_tag ...?

[!*!]

@joordan jak już ktoś wcześniej wspomniał, nie bierz sobie słów i kodu @alex011251 do serca, bo zwyczajnie chłopak nie wie co czyni.

[joordan]

Czyli:

[PHP] pobierz, plaintext 
stripslashes()
 
addslashes()
 
htmlspecialchars()
 
mysql_real_escape_string()
 
strip_tags()
[PHP] pobierz, plaintext 

Tak naprawdę nic nie dadzą przy zabezpieczeniach zmiennych...? Nie rozumiem to po co to komu...?

A tak na marginesie to kto mi zrobił ten dowcip w sql...?

Ten post edytował joordan 24.05.2013, 15:49:06

[!*!]

Tak naprawdę nic nie dadzą przy zabezpieczeniach zmiennych...? Nie rozumiem to po co to komu...?

Po coś w końcu powstały, trzeba wiedzieć jak i gdzie ich użyć a nie stosować na rympał gdzie popadnie. Odpowiedz sobie pierw na pytanie co chcesz zrobić, jakie to dane i jaka jest ich rola później.

Jak już pisałem, mysql_ wylatuje z PHP, więc im szybciej pojmiesz PDO tym lepiej. http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO tu jest w miarę dobry opis, koniecznie stosuj bindowanie, a nie będziesz mieć tych problemów co wyżej.

[alex011251]

@joordan jak już ktoś wcześniej wspomniał, nie bierz sobie słów i kodu @alex011251 do serca, bo zwyczajnie chłopak nie wie co czyni.

Nie ma sensu dyskusja z wami. Napisz moze koledze , wytlumacz bo poki co tylko uzywasz samych ogolnikow (IMG:style_emoticons/default/smile.gif)
Ja sie juz nie mieszam bo tu kazdy pozjadal wszystkie rozumy.

[ziqzaq]

"Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo"

I ta klasa "security" to jest przykład programowania obiektowego? To już lepiej wpakować to w kilka funkcji security_*, po co w ogóle tworzyć obiekt "security"? Dla jakiejś zasady, czy po to żeby sobie metody wywoływać i nazwać OOP?
Tylko nie tłumacz już, że to stara klasa bo to jest raptem kilka linijek, które można w minutę przepisać i pokazać początkującemu porządny kod...

"Dlatego gdyz addshlashes dodaje znaki slasha "/" do zapytan sql"

Dodaje backslashe "\"...

"Chroni w 100% przed Sql.injection i Xss"

Chroni jak wie się co się robi. Nie wystarczy magiczna funkcja "panaceum_na_xss_i_sqli". Przykład?

[PHP] pobierz, plaintext 
$s = new security;
$id = $s->sql("0 OR 1=1");
$sql = "SELECT `superduper_user` from `t1` where id={$id}";
[PHP] pobierz, plaintext 

Bierze później początkujący taką magiczną funkcję na wszelkie SQLI i XSS i robią się jaja bo nie pomyśli, że $id to powinien być int i przydałoby się to zwalidować i przefiltrować pod tym kątem (choćby rzutowanie lub FILTER_SANITIZE_NUMBER_INT).

[joordan]

I ta klasa "security" to jest przykład programowania obiektowego? To już lepiej wpakować to w kilka funkcji security_*, po co w ogóle tworzyć obiekt "security"? Dla jakiejś zasady, czy po to żeby sobie metody wywoływać i nazwać OOP?
Tylko nie tłumacz już, że to stara klasa bo to jest raptem kilka linijek, które można w minutę przepisać i pokazać początkującemu porządny kod...


Dodaje backslashe "\"...


Chroni jak wie się co się robi. Nie wystarczy magiczna funkcja "panaceum_na_xss_i_sqli". Przykład?

[PHP] pobierz, plaintext 
$s = new security;
$id = $s->sql("0 OR 1=1");
$sql = "SELECT `superduper_user` from `t1` where id={$id}";
[PHP] pobierz, plaintext 

Bierze później początkujący taką magiczną funkcję na wszelkie SQLI i XSS i robią się jaja bo nie pomyśli, że $id to powinien być int i przydałoby się to zwalidować i przefiltrować pod tym kątem (choćby rzutowanie lub FILTER_SANITIZE_NUMBER_INT).

mysql_real_escape_string nie waliduje operatorów OR AND...?

Jeśli kogoś uraziłem swoją suchą wypowiedzią to przepraszam. Wiem że strona jest dziurawa nie ściągnełem jej żebyście mieli zajęcie. (IMG:style_emoticons/default/tongue.gif)

[Spawnm]

mysql_real_escape_string nie waliduje operatorów OR AND...?

http://php.net/mysql_real_escape_string

[pyro]

Cześć.

Jeśli chodzi o samo SQL Injection najlepiej korzystać z zapytań predefiniowanych. Nie musisz do tego używać PDO, MySQLi już ma zorientowaną obiektowo obsługę takich zapytań. Użytkownika @alex011251 w ogóle nie słuchaj, bo ten jego "kod" to jakiś śmieszny żart.

Natomiast jeśli chodzi o XSS polecam stosowanie systemu szablonów, który dodatkowo porządkuje kod - np. Twig.

[joordan]

[PHP] pobierz, plaintext 
	function add_sql_where($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
			$value = filter_var($value,FILTER_SANITIZE_NUMBER_INT);
		} else {
			$value = mysql_real_escape_string($value);
			$value = filter_var($value,FILTER_SANITIZE_NUMBER_INT);
		}
		return $value;
	}
 
		function add_sql_update($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	/////show_in_html
		 htmlspecialchars($value);
 
 
[PHP] pobierz, plaintext 

Tak będzie dobrze ...?

Ten post edytował joordan 24.05.2013, 18:10:04

[!*!]

http://forum.php.pl/index.php?showtopic=23258 a żeby być bardziej na czasie, zacznij czytać tak od 18 strony.

[alex011251]

Podsumowujac. Widocznie na wszystko znajdzie sie obejscie.
Wiec nie wiem czy ktos sie ze mna zgodzi ale najlepiej jest nie korzystac ze zmiennych globalnych tylko samemu pisac ktore znaki maja byc dozwolone. Nie ktore nie dozwolone bo to za dlugo grzebania.

Z reszta zalozmy za te 3lata moze ktoras z tych "super" zabezpieczajacych funkcji wygasnac i wtedy wszystko staje sie dziurawe.Tak jak moja staaaara klasa.

Ten post edytował alex011251 24.05.2013, 20:44:35

[joordan]

Pouczyłem się z PDO i sam nie dowierzam jakie to jest proste i jakie wygodne w użytkowaniu.

[PHP] pobierz, plaintext 
 
try{
	$pdo = new PDO('mysql:host=localhost;dbname=firany;encoding=utf8', 'root', '');
	echo 'Nawiązałem połączenie';
}
 
catch(PDOException $e){
	echo 'Błąd:'.$e->getMessage();
}
 
$res1 = $pdo->prepare('INSERT INTO `user` (`nick`) VALUES (`:nick`) ')
$res1->bindValue(':nick', $_GET['nick'], PDD::PARAM_STR);
$res1 ->execute();
$res1 ->closeCursor();
 
$res2 = $pdo -> query('SELECT `nick` FROM `user`');
while ($row = $res ->fetch()) {
	echo(htmlspecialchars($row[0]));
}
$res2 ->execute();
$res2 ->closeCursor();
[PHP] pobierz, plaintext 

Czy powyższy kod jest bezpieczny...?

Ten post edytował joordan 25.05.2013, 02:26:11

[devbazy]

@joordan: świetny pomysł z tą nazwą tabeli "urzytkownicy". Teraz biedni hakerzy będą próbowali skasować dane z nieistniejącej tabeli "uzytkownicy", o ile znajdą jakąś lukę. Chyba sam muszę zastosować podobną metodę (IMG:style_emoticons/default/smile.gif)

[joordan]

No ba (IMG:style_emoticons/default/smile.gif) To napewno wina auto uzupełniania w edytorze (IMG:style_emoticons/default/tongue.gif)

A tak na serio to opłaca się w ogóle bawić w escapowanie procedur składowania (IMG:style_emoticons/default/smile.gif)

Ten post edytował joordan 25.05.2013, 02:29:24

[!*!]

Czy powyższy kod jest bezpieczny...?

Tak, brawo. Oczywiście jeśli mowa o wrzucaniu danych do bazy (IMG:style_emoticons/default/wink.gif) Kwestia tego czy $_GET['nick'] jest właściwe, to zupełnie inna bajka, którą możesz filtrować np. preg_match [a-z0-9]{3,25}

[g2g3]

PS:
Jak mi piszesz PW to nie zadawaj pytan wyrwanych z kontekstu ws tylu "Choci ci o sesje? Bo skad mam wiedziec skad po co i w jakim temacie piszesz.

Kolejny z zerem Pokory

Nie powinienes tworzyc filtra nie pozwalaj na. Tylko lepiej zastosowac pozwol na ;]

Bo w tym przypadku zabraniasz na wstawianie liter ale niw filtrujesz wszystkiego

http://firany-sklep.pl/index.php?so=1&...p;kat=5&s=0

Uzyj htmlspecialchars i addshlashes

Strona podatna na Sql.injection. Wiec jak najbardziej bym mogl sie wlamac

dodam ze za testy penetracyjne sie placi

Człowieku nie pajacuj, włamać do Ty się możesz do lodówki. Zainteresuj się słownikiem i nie udawaj kogoś kim nie jesteś.

[alex011251]

Włamał bym się do twojej ale po mostem nie ma (IMG:style_emoticons/default/smile.gif)


Wskazałem błędy i reszta mnie już nie interesuje.

[PrinceOfPersia]

http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-6.html
fajny tytuł (IMG:style_emoticons/default/smile.gif)
ale niepoważny, bo robisz czarny PR firmie, dla ktorej robisz stronkę (IMG:style_emoticons/default/wink.gif)

jeśli chodzi o kod HTML, to masz tam niestety inline javascript

[HTML] pobierz, plaintext 
<span class="x" onclick="document.getElementById('rejestracja').style.display = 'none'; document.getElementById('przyciemnij').style.display = 'none';">x</span>
[HTML] pobierz, plaintext 

ten cały kod z onclick powinieneś przenieść chociażby do <script>, jeśli nie do osobnego pliku js.

oraz inline style:

Kod

<div style="float:right;">

[joordan]

http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-6.html
fajny tytuł (IMG:style_emoticons/default/smile.gif)
ale niepoważny, bo robisz czarny PR firmie, dla ktorej robisz stronkę ;)

jeśli chodzi o kod HTML, to masz tam niestety inline javascript

[HTML] pobierz, plaintext 
<span class="x" onclick="document.getElementById('rejestracja').style.display = 'none'; document.getElementById('przyciemnij').style.display = 'none';">x</span>
[HTML] pobierz, plaintext 

ten cały kod z onclick powinieneś przenieść chociażby do <script>, jeśli nie do osobnego pliku js.

oraz inline style:

Kod

<div style="float:right;">

Pisałem na szybko od ręki przez co całość wygląda jak brudnopis, to miało po prostu działać, być bezpieczne, dobrze się indeksować i koniec (IMG:style_emoticons/default/tongue.gif)
Co za różnica czy to zaincluduje czy nie...?

Jeśli zaindeksuje ten link to na pewno. Ten trik jest dobrze znany zobacz choćby tutaj http://www.playtube.pl/53120-Niedzialajacy...-lektor-pl.html Nie rozumiem co w tym złego.

Tak, brawo. Oczywiście jeśli mowa o wrzucaniu danych do bazy ;) Kwestia tego czy $_GET['nick'] jest właściwe, to zupełnie inna bajka, którą możesz filtrować np. preg_match [a-z0-9]{3,25}

Nick jest tekstem czyli używam filtru dla stringu PARAM_STR + prepare
Jeśli zawiera cyfry to używam PARAM_INT + prepare

No chyba że bind nie działa w ten sposób. Z tego co pamiętam to w niektórych przypadkach nie działa np.

[PHP] pobierz, plaintext 
sql = $pdo->prepare ('---------------------- LIMIT '.$paginacja.'');
[PHP] pobierz, plaintext 

W takim wypadku trzeba przefiltrować $paginacja tak aby wyświetliła tylko cyfry bo

[PHP] pobierz, plaintext 
$sql ->bindValue(':paginacja', $_GET['paginacja'], PDD::PARAM_INT);
[PHP] pobierz, plaintext 

Nie zadziała.

Czy dobrze rozumuje...?

Ten post edytował joordan 25.05.2013, 19:25:38

[PrinceOfPersia]

dobrze się indeksować

no to właśnie google zaindeksowało tekst o sprzedawaniu dzieci do Chin... (IMG:style_emoticons/default/wink.gif)
https://www.google.com/search?q=Jeste%C5%9B...dekoracja+okien

mi to rybka, ale ogólnie rzecz biorąc dobrze jest takie rzeczy robić na osobnej domenie, czy na testowym serwerze (IMG:style_emoticons/default/wink.gif)

[joordan]

Zgłosiłem do usunięcia w Google, czy może Moderator usunąć te śmieszne linki typu sprzedaje dzieci do chin...?

Ten post edytował joordan 25.05.2013, 20:39:39

[!*!]

Czy dobrze rozumuje...?

GET zawsze jest stringiem, nawet gdy jest liczbą. Nie rozróżniasz procesu wrzucania danych do bazy, od ich typu i tego jakie mają być, po co Ci nick który wygląda np. jak mój tu na forum lub "@#%@WKJWE222" ?

no to właśnie google zaindeksowało tekst o sprzedawaniu dzieci do Chin...
https://www.google.com/search?q=Jeste%C5%9B...dekoracja+okien

Ups :D

[joordan]

[PHP] pobierz, plaintext 
$paginacja= (int) $_GET['paginacja'];
$sql ->bindValue(':paginacja', $paginacja, PDD::PARAM_INT);
[PHP] pobierz, plaintext 

Chodziło mi o taki zapis (IMG:style_emoticons/default/tongue.gif)