[www] Serwis do tworzenia kartoteki pojazdu Opcje

[Trobin]

Witam,

ostatnio pracowałem nad serwisem, który umożliwiałby wygodne zarządzanie historią serwisową pojazdu. Robiłem to głównie dla zdobycia umiejętności, doświadczenia oraz dlatego, że sam czegoś takiego potrzebowałem :-). Serwis oparty jest o framework Kohana 3.2. Zależy mi na opiniach a propos działania oraz bezpieczeństwa. Jeżeli chodzi o desgin - jest to szablon darmowy, dlatego jego proszę nie oceniać :-).

http://autofiles.pawel.hemperek.pl

PS. Taka informacja - gdy naprawa jest dodawana do bazy danych, łączny koszt napraw pozostanie bez zmian, ponieważ kalkulacja tegoż właśnie całkowitego kosztu odbywa się za pomocą triggera w bazie danych, jednak ten hosting, którym dysponuję nie umożliwia tworzenia triggerów. Nie jest to oczywiście hosting docelowy.

[qrooel]

Konto testowe? ;>

[Niktoś]

Serwis podatny na ataki XSS:
Właśnie ukradłem identyfikator sesji:
session=455d0aa9426e909644977dcc1c858974
Aplikacja się wysypała się przy wejściu na opcję ustawienie konta
Zastanowiłbym się nad obsługą custom error bo to co wywaliła kohana to raj dla hakera-wszystkie metody,twoje ip itp.
Zresztą sam zobacz:

string(60) "/home/trobin/domains/pawel.hemperek.pl/public_html/autofiles"

GATEWAY_INTERFACE

string(7) "CGI/1.1"

HTTP_ACCEPT

string(63) "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"

HTTP_ACCEPT_CHARSET

string(30) "ISO-8859-2,utf-8;q=0.7,*;q=0.7"

HTTP_ACCEPT_ENCODING

string(12) "gzip,deflate"

HTTP_ACCEPT_LANGUAGE

string(23) "pl,en-us;q=0.7,en;q=0.3"

HTTP_CONNECTION

string(10) "keep-alive"

HTTP_COOKIE

string(40) "session=056a9c842b2b6bdf06be9ab862e93e37"

HTTP_HOST

string(27) "autofiles.pawel.hemperek.pl"

HTTP_KEEP_ALIVE

string(3) "115"

HTTP_REFERER

string(44) "http://autofiles.pawel.hemperek.pl/dashboard"

HTTP_USER_AGENT

string(119) "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23 ( .NET CLR 3.5.30729; .NET4.0E)"

KOHANA_ENV

string(11) "development"

PATH

string(13) "/bin:/usr/bin"

PHPRC

string(23) "/usr/local/etc/php5/cgi"

PHP_INI_SCAN_DIR

string(45) "/usr/local/directadmin/data/users/trobin/php/"

QUERY_STRING

string(0) ""

REDIRECT_KOHANA_ENV

string(11) "development"

REDIRECT_PHP_INI_SCAN_DIR

string(45) "/usr/local/directadmin/data/users/trobin/php/"

REDIRECT_STATUS

string(3) "200"

REDIRECT_UNIQUE_ID

string(24) "TrXeNrwoN9QAAHyJUb0AAAAS"

REDIRECT_URL

string(14) "/user/settings"

REDIRECT_VHOST_OWNER

string(6) "trobin"

REMOTE_ADDR

string(13) "178.37.59.126"

REMOTE_PORT

string(4) "5954"

REQUEST_METHOD

string(3) "GET"

REQUEST_URI

string(14) "/user/settings"

SCRIPT_FILENAME

string(70) "/home/trobin/domains/pawel.hemperek.pl/public_html/autofiles/index.php"

SCRIPT_NAME

string(10) "/index.php"

SERVER_ADDR

string(13) "188.40.55.212"

SERVER_ADMIN

string(27) "webmaster@pawel.hemperek.pl"

SERVER_NAME

string(27) "autofiles.pawel.hemperek.pl"

SERVER_PORT

string(2) "80"

SERVER_PROTOCOL

string(8) "HTTP/1.1"

SERVER_SIGNATURE

string(0) ""

SERVER_SOFTWARE

string(6) "Apache"

UNIQUE_ID

string(24) "TrXeNrwoN9QAAHyJUb0AAAAS"

VHOST_OWNER

string(6) "trobin"

ORIG_PATH_INFO

string(14) "/user/settings"

ORIG_PATH_TRANSLATED

string(70) "/home/trobin/domains/pawel.hemperek.pl/public_html/autofiles/index.php"

PHP_SELF

string(10) "/index.php"

REQUEST_TIME

integer 1320541750

argv

array(0)

argc

integer 0

A to tylko część.
Jeśli ten post jest w jakikolwiek groźny dla twojej aplikacji to niech Moderator go skasuje.Eh nie wiem czy Kohana jest aż tak dobra po tym co zobaczyłem-chyba że gdzieś można wyłączyć raportowanie błędó i zrób to jak najszybciej.

Ten post edytował Niktoś 6.11.2011, 02:18:54

[Trobin]

Założyłem, że kto będzie chciał, to się zarejestruje, ale w sumie racja :-).

Login: phppl
Hasło: phpplphppl

@Niktoś: faktycznie - zapomniałem przełączyć aplikacji w tryb "production" ;-). Teraz już nie powinno wywalać całego zrzutu. Co do ustawień konta - ten kod jest jeszcze niegotowy, dlatego się wysypuje :-).
Teraz po wejściu w ustawienia powinno się pojawić tylko:

Kod

Fatal error: Exception thrown without a stack frame in Unknown on line 0

Ten post edytował Trobin 6.11.2011, 02:52:13

[jacobson]

w sumie to nie ma co oceniac ... 2 formularze, typografia okropna. I jeszcze po wejsciu w ustawienia po wywaleniu tego bledu automatycznie wylogowuje uzytkownika. Zabraklo troche rzeczy do oceny.

[sebekzosw]

jak dodaje samochód w formularzu mam pole:

Koszt zakupu pojazdu:

a w moich pojazdach mam taki wpis:

Łączy koszt napraw

[Niktoś]

Radziłbym ,także ograniczyć pola typu input type text używając właściwości maxlenght.Bo jak na razie to w pole można wpisać dowolną ilość znaków.Jeśli Chcesz uniknąć błędów typu request overload-po prostu zrób to.
Poza tym co jeszcze zauważyłem to masz złą walidację pola rok produkcji-mogę wstawić pięć cyfr przez co dat produkcji auta to 00.00.0000r.
Aplikacja ogólnie słabo zabezpieczona.

[Trobin]

@jacobson, dzięki, poczytam o poprawnej typografii :-). Już parę razy miałem z tym pojęciem do czynienia i jakoś zawsze brakowało mi chęci, żeby się w to zagłębić. A jeżeli nie masz co oceniać jeżeli chodzi o sam serwis, to powiedz np. czy do Ciebie taki pomysł trafia, czy uważasz, że jest raczej chybiony? :-)
@sebekzosw, tak jest rzeczywiście, ponieważ w pierwotnym zamyśle koszt zakupu miał być łączony z wydatkami na samochód, żeby widać było ile dany pojazd pochłonął gotówki. Jednak już kolejna osoba zwraca na to uwagę, dlatego zostanie to rozgraniczone - kosz zakupu i łączny koszt napraw.
@Niktoś, dzięki za uwagi. Pododaję ograniczenia na inputy. Dalej jest tak łatwo zastosować XSS? Pytam, bo nie wiem czy to, co zmieniłem wczoraj w jakiś sposób już przed tym zabezpiecza, czy jeszcze nie.

[Niktoś]

Wogóle popraw tą aplikację bo sypie błędami ,aż nie miło.Serwis dalej podatny na ataki xss.
Przy rejestracji wpisz w pole nazwy użytkownika:
\x3Ca href="" onmouseover="alert(document.cookie);" \x3ETUTAJ!\x3C/a\x3E
klikni zarejestruj i najedź myszą na to pole.

Ten post edytował Niktoś 6.11.2011, 13:57:34

[Trobin]

@Niktoś, moje niedopatrzenie. Zastosowałem zmiany dla pozostałych formularzy, natomiast zapomniałem o logowaniu i rejestracji. Teraz Twój przykład już nie powoduje wywalenia nieładnego okienka z ważnymi danymi ;-)

[Niktoś]

Teraz jest OK:)

[Trobin]

Mam pewne wątpliwości co do wspomnianej wcześniej typografii. Czy jeżeli np. ustawiam elementy zgodnie z jakąś (przez siebie wybraną) siatką to idę w dobrym kierunku i poprawiam typografię, czy w zasadzie nie robię nic pożytecznego? Jednym słowem, czy na tym (między innymi) polega poprawna typografia czy też nie?

[Daiquiri]

Mam pewne wątpliwości co do wspomnianej wcześniej typografii. Czy jeżeli np. ustawiam elementy zgodnie z jakąś (przez siebie wybraną) siatką to idę w dobrym kierunku i poprawiam typografię, czy w zasadzie nie robię nic pożytecznego? Jednym słowem, czy na tym (między innymi) polega poprawna typografia czy też nie?

Wyrównanie to jedno. Do tego dochodzi jeszcze odległość między wierszami, kolor, rozmiar no i oczywiście sam krój.

Istotne jest, aby nie zarzucić projektu kilkunastoma różnymi fontami o różnych rozmiarach i kolorach. Wybierz czcionkę, zadbaj o odpowiednie odstępy line-height, dobierz rozmiary dla nagłówków i treści, a także kolory... i się tego mocno trzymaj . Zauważ, że Twój nagłówek "Witaj w miejscu, w którym zapanujesz nad naprawami swojego samochodu!" ma bardzo mały odstęp między wierszami, natomiast pomiędzy "Co to jest?" a blokiem tekstu jest (na oko) 20px.

Brakuje Ci jednolitych odstępów czy chociażby konsekwencji w rozmiarze czcionki. Nie możesz przecież wszystkiego wyróżnić .

[matadorre]

Strona startowa odstrasza w kontekście grafiki, czcionek i układu... Pomijając funkcjonalność systemu wchodząc na taką stronę nie ma się ochoty kontynuować.

Ten post edytował matadorre 16.12.2011, 16:13:35

[Trobin]

Nie chciałem tworzyć nowego wątku, ponieważ pamiętałem, że wrzucałem już do oceny swoje dawne dzieła - stąd odpowiedź do tego wątku .

Tematyka serwisu się nie zmieniła - dalej jest to aplikacja, pozwalająca na zapisywanie i śledzenie kosztów ponoszonych na swój samochód. Co się zmieniło? Przede wszystkim wygląd serwisu - gołym okiem widać Bootstrap (frontendowcem nie jestem, brak mi do tego zmysłu estetyki). Poza tym całość pisałem na frameworku FuelPHP (poza tym, że moim zdaniem jest to dość solidne narzędzie, to jeszcze fajnie komponuje się z tematem ).

Serwis powstał przede wszystkim w wyniku chęci stworzenia czegoś - by móc się w końcu czymś pochwalić. Na drugim planie jest rentowność: jeśli uda się na tym zarobić chociaż na jeden pełen bak paliwa - świetnie, jeśli nie - trudno .

Czemu autofiles.pl a nie motostats.pl/fleetio.com/inne
Moim planem jest nieco inne podejście do tematu wydatków. W motostats można prowadzić de facto tylko dziennik kosztów. Dostajemy wtedy fajne wykresy, listę wydatków i... no właśnie - nic poza tym. Moim pomysłem na nowość jest wprowadzenie automatycznego powiadamiania o różnych ważnych sytuacjach, związanych z eksploatacją pojazdu. W tej chwili system reaguje wyświetleniem alarmu na podwyższone spalanie lub konieczność wymiany oleju. Docelowo chcę, by powiadamiał o różnych innych sytuacjach - np. zalecanej wymianie świec zapłonowych, opon itp. W tej chwili zastanawiam się w jaki sposób najlepiej to zrobić . Fleetio zaś jest serwisem anglojęzycznym i nastawionym na zarządzanie flotą pojazdów. Ja chciałem dostarczyć podobne narzędzia, dla użytkowników posiadających tylko kilka pojazdów.

Konto testowe
login: phppl
hasło: forumphppl

Link
autofiles.pl

Czego potrzebuję?
Chciałbym usłyszeć opinię szerszego grona na temat koncepcji, wykonania (czy wygląd nie odstrasza, czy używa się tego wygodnie), no i czego brakuje . Mam kilka pomysłów na dalszy rozwój, jednak co mi po pomysłach, które nikomu oprócz mnie się nie podobają.

[gitbejbe]

jak dla mnie, to jakoś tak pusto ... Na głównej stronie fajnie byłoby zaprezenotwać graficznie możliwości Twojego systemu zarządzania i przekonać użytkownika że to proste innowacyjne i przydatne. Mówie tutaj o obrazkach - bo najbardziej trafiają do ludzi, nikt nie chce czytać tekstu i nikt tego nie robi. Więc nieważne ile czego napiszesz i jakie fajne tam rzeczy zamiescisz w tych opiasch to tego i tak nikt nie przeczyta. Także ja usunąłbym do minimum tekst i wszystko prezenotwał graficznie - przy takiej specyfice strony jak Twoja. Strona główna ma zachęcić do korzystania ale również dać szybki dostęp do konta dla użytkoniwka. Rejestracja tragiczna. Jesli ma być tak pusto to pomysl co tutaj by jeszcze wastawić, bo już samo to mnie odstarsza do podawania swoich danych. To samo logowanie.

Konto użytkownika : nagłówk "Ford <span style="text-decoration: underline;">uuu</span>"

Tutazj wizualnie już tragiedii nie ma, ale brakuje mi jakiś najistotniejszych informacji. Niedługo w końcu kupuje autko to zaczne się pewnie interesować takimi rzeczami, ale narazie jestem laikiem więc dla mnie te informacje nic nie znaczą : ) Ale podoba mi się pomysł z wykresem i uważam, ze powinien być on odrazu widoczny na głównej stronie panelu użytkoniwka. Może też zrobić jakaś seksce o alertach czyc coś, nie wiem czekam na dalsze efekty : ) Jeszcze trochę pracy przed Tobą. Pomuyśl tez poważnie nad zmianem układu strony dla urzadzeń mobilnych. Widzę, że strona jest skalowalna, ale pamietaj, że na komorce musisz mieć dostęp tylko do najistotniejszych rzeczy.

[Trobin]

Dzięki za uwagi - pomyślę o tym, o czym wspomniałeś

Mam kilka pytań:
- o jakich najistotniejszych informacjach mówisz?
- który wykres widziałbyś na stronie główej panelu użytkownika?
- czy sprawdzałeś stronę pod komórką? Na moim małym Samsungu wszystko wygląda ładnie (responsywnie znaczy się ), ale może jak ktoś ma większy ekran to pojawia się coś, czego być nie powinno

[gitbejbe]

- o jakich najistotniejszych informacjach mówisz?

nie wiem ; ) To już Ty jesteś specialista nie ja... Musisz to przemyśleć i przedstawić to, co wg Ciebie ma najistotniejsze znaczenie dla odbiorcy, który ma korzystać z Twoich dobrodziejstw. Gdyby to było takie proste, to byś się mnie nie pytał a ja nie musiałbym Ci odpowiadać ;p Coś wymyślisz : )

który wykres widziałbyś na stronie główej panelu użytkownika?

Nie widziałem wykresu na stronie głównej tylko w pełnym raporcie w dziale podsumowanie. Fajny pomysł i powinien od dokładniej być opisany na stronie głównej panelu. Wchodząc na swoje konto najpierw chciałbym mieć ogólnie przedstawione najistotniejsze informacje - tak żebym nie musiał klikać w przeróżne opjce. Wchodze i mam - to jest klucz do sukcesu. Jak najmniej odnośników na stronie !

czy sprawdzałeś stronę pod komórką? Na moim małym Samsungu wszystko wygląda ładnie (responsywnie znaczy się biggrin.gif), ale może jak ktoś ma większy ekran to pojawia się coś, czego być nie powinno

Nie jestem posiadaczem smartfona, a testuje na oknie przeglądarki. Fakt strona się skaluje ale to za mało. Chodzi mi o to aby przy jakiejś rozdzielczości były wyświetlane tylko najistotniejsze informacje a nie cała strona. W dodatku storna nie wszędzie się dobrze skaluje. Polecam stronke : http://mattkersley.com/responsive/

Wykresy są statyczne, to powazny bład w skalowaniu więc musisz to poprawić

Pracuj pracuj, bo to wszystko to ciągle za mało. Zrób najpierw bardzo dobry i przyjazny front-end, później myśl o programowaniu