Autorski CMS - Forum PHP.pl

Autorski CMS

Omenomn Zobacz profil	5.06.2015, 17:17:16 Post #1
Grupa: Zarejestrowani Postów: 77 Pomógł: 0 Dołączył: 4.02.2014 Ostrzeżenie: (20%)	Stworzyłem własny CMS, na frameworkach codeigniter i bootstrap. link: http://s1060364-14898.home-whs.pl/modules_1/ Admin ze wszystkimi uprawnieniami email: jan@kowalski hasło: abcd Użytkownik z uprawnieniami do zwykłego zarządzania email: beata@beata.pl hasło: abcd Co sądzicie?

Odpowiedzi

Xelah Zobacz profil	7.06.2015, 20:06:35 Post #2
Grupa: Zarejestrowani Postów: 139 Pomógł: 24 Dołączył: 12.05.2013 Skąd: Hamburg Ostrzeżenie: (0%)	@com Ależ ja nigdzie ni wspomniałem nawet o bezpieczeństwie. I masz w pełni rację. Żadna metoda nie gwarantuje bezpieczeństwa. Za to stosowanie metod zgonie z ich przeznaczeniem poprawia czytelność aplikacji i ułatwia zrozumienie tego, co się dzieje. Bo idąc Twoim tokiem rozumowania można przyjąć, że skoro status code jest też tylko ciągiem znaków to można zwracać zawsze, powiedzmy, 404 przy usuwaniu resource. I traktować to tak, jak by wszystko było ok. No można. Technicznie się da. Tylko co przez to się osiągnie? Ja wiem, że 99% się do tego nie stosuje. Tak jak nie stosują private/protected tylko lecą wszystko na public, bo "się da i działa". Przykładów można mnożyć w nieskończoność. Ile razy widziałem API JSON, które w przypadku błędnego requestu zwraca 200 zamiast 400 i treść błędu w plain/text? Albo internal server error z kodem 200? Przykładów złego kodu jest znacznie więcej niż dobrego, ale to nie znaczy, że należy ot tak tolerować i usprawiedliwiać takie rzeczy. Fakt, że ktoś inny też tak robie nie jest dla mnie żadnym argumentem. @kayman A jakie to poważne wyjątki?

Posty w temacie

Omenomn Autorski CMS 5.06.2015, 17:17:16

rad11 Na admina nie mozna sie zalogowac. Albo robisz str... 5.06.2015, 17:35:35

Ksar http://s1060364-14898.home-whs.pl/modules_...onten... 5.06.2015, 17:54:43

rad11 Ksar to nic spojrz tutaj http://forum.php.pl/inde... 5.06.2015, 18:05:19

Ksar Cytat(rad11 @ 5.06.2015, 19:05:19 ) K... 5.06.2015, 18:20:37

Omenomn Ksar dziwne, że błąd wywaliło, wcześniej tego nie ... 5.06.2015, 18:52:18

gitbejbe Nie wiem jak inni ale ja gdy widze strone wlasnie ... 6.06.2015, 11:11:35

Spawnm Brak HttpOnly dla sesji, brak tokenów czy kasowani... 6.06.2015, 11:47:15

Pyton_000 @Spawnm to że Get zamiast post to nic nie zmienia.... 6.06.2015, 12:03:21

Ksar Cytat(Pyton_000 @ 6.06.2015, 13:03:21... 6.06.2015, 16:53:35

Spawnm @Pyton_000 takimi linkami można wyczyścić wszystki... 6.06.2015, 12:06:37

Omenomn CytatNie wiem jak inni ale ja gdy widze strone wla... 6.06.2015, 12:28:00

Pyton_000 To że nie powinny nie znaczy że nie mogą 6.06.2015, 19:01:22

Xelah @Pyton_000 Myślałęm, że tutaj się powinno pomagać ... 6.06.2015, 19:55:34

com Xelah Idac takim tokiem rozumowania to POST tak sa... 7.06.2015, 16:00:16

Spawnm @com rzeczywiście id często lecą getem, jednak z r... 7.06.2015, 16:12:12

kayman CytatMetoda GET nie powinna umożliwiać tworzenia, ... 7.06.2015, 16:14:21

Ksar Cytat(kayman @ 7.06.2015, 17:14:21 ) ... 7.06.2015, 16:21:31

com Spawnm owszem ale to u tych co maja jakieś pojecie... 7.06.2015, 16:28:30

Ksar Cytat(com @ 7.06.2015, 17:28:30 ) co ... 7.06.2015, 16:30:53

kayman Cytat(com @ 7.06.2015, 17:26:21 ) ale... 7.06.2015, 16:32:07

com pominę fakt, że parę lat temu widziałem przykłady ... 7.06.2015, 16:39:19

Ksar Cytat(com @ 7.06.2015, 17:39:19 ) Ksa... 7.06.2015, 16:55:48

com nie ma wcale różnic, różnica jest tylko w formie z... 7.06.2015, 17:15:10

Omenomn 1. Tokeny zrobione 2. Wymagane skomplikowane hasło... 7.06.2015, 18:28:40

Spawnm Cytatochrona przed brute force Nadal jest podatnoś... 7.06.2015, 18:56:43

Omenomn to nie wiem jak wzmocnić ochronę przed brute force... 7.06.2015, 19:03:35

Spawnm Obrona przed brute force - np 3 nieudane logowania... 7.06.2015, 19:13:44

Xelah @com Ależ ja nigdzie ni wspomniałem nawet o bezpie... 7.06.2015, 20:06:35

Omenomn CytatBłąd wywołałem przesyłając tablicę zamiast do... 7.06.2015, 20:51:50

Spawnm Wysłałem pole foo nie jako string ale jako tablice... 7.06.2015, 21:09:04

markonix Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 7.06.2015, 22:56:50

aras785 Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 16.06.2015, 23:03:56

Omenomn CytatWysłałem pole foo nie jako string ale jako ta... 7.06.2015, 22:10:49

com Xelah to zupełnie dwie odmienne rzeczy, ale biorąc... 7.06.2015, 22:37:05

Xelah Cytat(com @ 7.06.2015, 23:37:05 ) Xel... 8.06.2015, 11:10:22

Omenomn CytatCytat Wysłałem pole foo nie jako string ale j... 7.06.2015, 23:02:32

Spawnm @Omenomn ty tak na serio? Wystarczy wprowadzić p... 7.06.2015, 23:28:13

markonix Cytat(Spawnm @ 8.06.2015, 00:28:13 ) ... 8.06.2015, 10:47:08

Spawnm Cytat(markonix @ 8.06.2015, 11:47:08 ... 8.06.2015, 12:50:45

Turson Error occurred: 403 - forbidden 8.06.2015, 06:28:39

Omenomn Cytat@Omenomn ty tak na serio? Wystarczy wprowad... 8.06.2015, 09:36:43

Pyton_000 Zawsze można rzutować zmienne np. (string) czy (in... 8.06.2015, 10:49:26

Omenomn Poprawiłem wszystkie pola o walidację stringa i do... 8.06.2015, 13:07:30

com CytatChodzi o przewidywalność. Bo jak robię OPTION... 8.06.2015, 18:30:31

webmaniak Kilka uwag: -brak info o błędzie w przypadku wpisa... 17.06.2015, 08:07:29

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: