[www] forum.cezary.pl, Forum :) Opcje

[CTRL]

Witam Was bardzo serdecznie!

Na początek chciałbym poprosić moderatorów o wyjaśnienie zasad panujących w tym dziale, przeczytałem przypięte tematy i napisaliście tam: Nie dajemy pod ocene for dyskusyjnych (chyba że layout lub mod). Ja skrypt forum wykonałem samodzielnie, i pytam coś takiego mogę tutaj opublikować. Również nie można reklamować czegokolwiek, co jest trochę trudne gdy dajemy link do swojej strony. Ale mam nadzieję że nic mi się nie stanie.

Programowaniem zajmuję się od grudnia 2009 roku, robiłem gry w ,,Game Makerze". Potem przestałem, i czasami bawiłem się HTMLem, aby początku ostatnich wakacji rozpocząć swoją przygodę z PHP. W listopadzie 2011 postanowiłem że spróbuję zrobić jakiś większy projekt. Zabrałem się za robienie uploadera plików. Można było sobie tam założyć konto logować się i dodawać pliki. Znudziło mi się, więc zrobiłem forum do którego dołączyłem opcję wysyłania plików. Ciągle je ulepszam i wprowadzam nowe rzeczy. Niestety nie mam pomysłu jak wypełnić to forum działami, więc prezentuję raczej tylko system.

Proszę klikać w poniższy link:

Link do forum

Prosiłbym żebyście bardziej oceniali skrypt niż layout ponieważ został on zrobiony żeby był jakikolwiek.

Pozdrawiam Marcin Wieczorek

[prowseed]

Przy zwijaniu i rozwijania kategorii proponuje dodac ciasteczka, bo inaczej ta opcja praktycznie nie ma sensu.
Faktycznie, layout biedny ale ostatecznie nie kłuje w oczy ^^ Na Twoim miejscu pomęczyłbym się chwilę nad kolorystyką i pomyślał jak to bardziej skompresowac. Układ głównego forum z racji małej ilości treści mógłby być przedstawiony w trochę inny sposób. Mam swoje pomysły, ale nie chcę niczego narzucać. Po prostu pomyśl o tym
Posty są za duże (w sensie przy większości tworzy się niepotrzebny whitespace). Ogólnie wygląda jak typowe forum w wersji bardzo... niemowlaczej [mam na myśli rozwój].
Daj testowe konto do forum/admina by moznabylo cokolwiek oceniac jezeli chodzi o skrypt.

<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js"></script>

ojjjj : ]
Na pierwszy rzut oka logowanie wyglada bezpiecznie.

[r4xz]

takich krzaczków nie powinno tutaj być:

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 435

lub

forum.cezary.pl/index.php?p=warnlist&user_id='
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

[toaspzoo]

Będzie problem z zalogowaniem po dodaniu uzytkownika ze znakami ', ", po prostu jes zamieni, co będzie skutkowało błędem przy logowaniu...

[CTRL]

@prowseed: Skrypt jest w trakcie tworzenia, mam jeszcze wiele pomysłów. Minusiki skończyłem dopiero wczoraj rano, a w js jestem całkiem zielony. Podpatrzyłem trochę w przykładach i opanowałem ładowanie z jquery. Problem jest w tym że jak załaduje jedną wersje jquery to nie wszystko działa. Co rozumiesz przez skompresować? Co do układu to jest nieograniczona ilość sposobów, ale założenie było takie że będzie tam tego dużo, jak na każdym forum, phpbb, mybb, ipboard itp. Posty są za duże bo mam problem z ustawieniem tej pseudostopki pod postem. Chyba o to Ci chodziło. Konto możesz sobie zrobić, wystarczy rejestracja.


@r4xz: Nie powinno ich być, dlatego pokazuję Wam to żebyście wyłapali błędy i dziury. Napisz co dokładnie i gdzie wpisałeś że zobaczyłeś te błędy.

@toaspzoo: Niestety o tym wiem, tylko nie do końca umiem to naprawić. Są te magicze ukośne kreski itp. ale nie do końca wiem jak tego używać.


Mowa końcowa: (jak w Annie Marii Wesołowskiej, hihi)
Dziękuję Wam bardzo za oceny i szukanie błędów, jestem tylko zawiedziony tym że ktoś próbował popsuć moje forum i jeszcze zamieszczał linki do błędów, wyzywał od nabków itp. Codziennie poprawiam jakieś błędy oraz dodaję nowości, więc wchodźcie na forum regularnie i najlepiej zróbcie sobie tam konta. Zauważyliście pewnie że są tam prywatne wiadomości, więc proszę zgłaszać mi tam wszystkie błędy jakie wyłapiecie. Wszystko ulegnie poprawie.

Pozdrawiam

[Fifi209]

Od początku: Obejrzałem stronę, zobaczyłem "Zmniejsz" w stopce, kliknąłem, strona się przeładowała, nic się nie zmieniło (chrome)
Wszedłem do jakiegoś tematu, ostrzeżenia użytkownika jakieś czarne prostokąty, wygląda to brzydko

Rejestracja:
Użyj ReCaptcha, zaznacz które pola są obowiązkowe, pokaż od razu czy nick jest zajęty, czy hasła się zgadzają i jaka jest siła (są gotowe skrypty)

Po rejestracji:
done. - co to za napis?
Poza tym, powinna widnieć informacja o aktywacji a nie dopiero przy próbie logowania

Profil:
Ranga: true

Wiadomości o których pisałeś znalazłem dopiero po 10 minutach z ciekawości kliknąłem na "0" bo znaczku wiadomości prawie w ogóle nie widać.

Shoutbox - przy pisaniu przeładowuje całą stronę.

Liczba użytkowników online w ciągu ostatnich 10 minut: 3
  Test,

Zastosuj implode

Nigdzie nie mogę znaleźć opcji pobrania skryptu forum, więc nie ma więcej do oceny?

[prowseed]

@prowseed: Skrypt jest w trakcie tworzenia, mam jeszcze wiele pomysłów. Minusiki skończyłem dopiero wczoraj rano, a w js jestem całkiem zielony. Podpatrzyłem trochę w przykładach i opanowałem ładowanie z jquery. Problem jest w tym że jak załaduje jedną wersje jquery to nie wszystko działa. Co rozumiesz przez skompresować? Co do układu to jest nieograniczona ilość sposobów, ale założenie było takie że będzie tam tego dużo, jak na każdym forum, phpbb, mybb, ipboard itp. Posty są za duże bo mam problem z ustawieniem tej pseudostopki pod postem. Chyba o to Ci chodziło. Konto możesz sobie zrobić, wystarczy rejestracja.

W forum chodzi o to by bylo lekkie, stabilne i chodzilo szybko. Forum tez powinno czytac sie szybko. Jezeli chcesz, by Twoje forum wygladalo jak kazde inne, to prosze bardzo. To byla tylko moja sugestia jak juz mowilem.

@r4xz: Nie powinno ich być, dlatego pokazuję Wam to żebyście wyłapali błędy i dziury. Napisz co dokładnie i gdzie wpisałeś że zobaczyłeś te błędy.

przy logowaniu w input: ' or 1=1--
przy rejestracji w nazwie: admin' order by'
Swoja droga jak kodujesz hasla? Zauwazylem, ze 2 pierwsze znaki (czasem 3 chociaz to moze przypadek) pozostaja takie same, a reszta jest w jakis dziwny sposob mieszana. Nie lepiej md5?

Mowa końcowa: (jak w Annie Marii Wesołowskiej, hihi)
Dziękuję Wam bardzo za oceny i szukanie błędów, jestem tylko zawiedziony tym że ktoś próbował popsuć moje forum i jeszcze zamieszczał linki do błędów, wyzywał od nabków itp. Codziennie poprawiam jakieś błędy oraz dodaję nowości, więc wchodźcie na forum regularnie i najlepiej zróbcie sobie tam konta. Zauważyliście pewnie że są tam prywatne wiadomości, więc proszę zgłaszać mi tam wszystkie błędy jakie wyłapiecie. Wszystko ulegnie poprawie.

No nie zartuj : )
Poza tym- jak mamy testowac skrypt nie widzac jego kodu? Mamy stwierdzic, ze dziala?

//EDIT
http://forum.cezary.pl/index.php?p=user&am...r=1%20and%201=0

Ten post edytował prowseed 30.01.2012, 01:22:52

[toaspzoo]

hasła z tego, co się dowiedziałem są kodowane w crypt(x, 12)

Ten post edytował toaspzoo 30.01.2012, 09:53:32

[CTRL]

Zapewne odkryłeś to analizując mój kod który zdobyłeś po ostatnim włamaniu Chciałem to zmienić na MD5, ale na crypt jakoś nie znalazłem crackera do łamania haseł, który mi ktoś podał na MD5, dlatego łamałem Twoje hasła do znajomka. Czemu crypt jest gorszy? Może mi ktoś powiedzieć?

Mam pytanie co do tego implode, o co dokładnie chodziło? Chyba wiesz że zalogowany byłeś tylko Ty, reszta to goście

Edit:
Przerobiłem skrypt tam gdzie były dziury.
- logowanie
- lista ostrzeżeń
- pokazywanie danych użytkownika

Ten post edytował CTRL 30.01.2012, 20:43:52

[rafio]

Zapewne odkryłeś to analizując mój kod który zdobyłeś po ostatnim włamaniu Chciałem to zmienić na MD5, ale na crypt jakoś nie znalazłem crackera do łamania haseł, który mi ktoś podał na MD5, dlatego łamałem Twoje hasła do znajomka.

Chyba pora zainteresować się pojęciem solenia haseł... a przy okazji można zainteresować się też phpass'em.

Czemu crypt jest gorszy? Może mi ktoś powiedzieć?

The standard DES-based crypt() returns the salt as the first two characters of the output. It also only uses the first eight characters of str, so longer strings that start with the same eight characters will generate the same result (when the same salt is used).

[toaspzoo]

zawsze można zrobić sha1(md5(sha1(md5(sha1(sha1(sha1(md5($pass)))))));

wtedy to będzie hard ;p

a jeśli chodzi o znajomka, to mała szansa, że się włamiesz ;p
Zatkałem wszystkie wymienione luki i filtruje wszystkie wejścia do bazy ...
A nawet... twój sposób był prostszy ! nie zablokowałem możliwości uploadowania plików php do swojego folderu... młody byłem i głupi ;p

[CTRL]

Pamiętaj że mam 790mb Twojego FTP które się już mi się pare razy przydało. Tam masz luk jak średników

O soleniu wiem tyle że chodzi o dwa albo ileś znaków nie hashowanych na początku czy gdzieśtam. Skoro twierdzicie że są lepsze metody to się zastosuję, przez ten czas przeczytałem troszkę w googlach. Najlepiej zrobić 2 hashe chyba

Macie jeszcze jakieś luki?

Edit:
Naprawiłem te luki co hxor pokazał.

Ten post edytował CTRL 30.01.2012, 22:40:18

[toaspzoo]

Za te moje 790 MB z mojego ftp wparuje do Ciebie policja i będziesz miał przychlast.
Jakbym miał tyle luk, co piszesz, to nie byłoby juz znajomka...

[Damonsson]

Ktoś się wku...i skasuje wasze 2 "pseudo"strony jednocześnie


Co do tematu nadal sypie błędami:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 447

Ten post edytował Damonsson 31.01.2012, 00:00:31

[CTRL]

Błędami czy błędem? Ten co napisałeś właśnie naprawiłem, dzięki.

Toaspzoo: Znajomka by nie było, gdybym się nie zlitował i nie dał Ci kopii bazy, której sobie tą całą grzegżółką nie naprawiłeś. Dam nawet screena:
dropbazyscreen.png
Luk jest dużo, np ten do testowania kodu, highlight_file(); Przeglądałem sobie te skrypty.
Dawajcie jeszcze jakieś luki ^^

Edit: Damonsson: ' i " też naprawiłem, dodając \ wystarczy? Czy da się obejść?
Edit2: No widzisz, bo ja mam funkcje różne, i mam funkcję blokującą xss, sql injection itp. i wszędzie gdzie wprowadza się nick czy jakiś tekst wywołuję tę funkcję, więc z automatu załatałem 5 innych dziur.

Ten post edytował CTRL 31.01.2012, 19:25:50

[Damonsson]

1. No to teraz daj jako login:

'

2. Przy rejestracji podałem nick

O'Neal

efekt: Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 584
Błąd zapytaniaYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'neal','wwi.wYYTmUfjM','false','true','0','User.','www@ww.ww','','178.36.74.28','' at line 1

@edit: Teraz jest ok. Luk większość połatałeś w porównaniu z tym co dałeś na samym początku, więc powinno być ok.

Ten post edytował Damonsson 31.01.2012, 19:19:30

[Fifi209]

Mam pytanie co do tego implode, o co dokładnie chodziło? Chyba wiesz że zalogowany byłeś tylko Ty, reszta to goście

Tak, tylko wyświetlasz to w pętli i po każdej iteracji dodajesz przecinek i po ostatniej osobie też on jest. Zastosuj implode będzie dobrze.

zawsze można zrobić sha1(md5(sha1(md5(sha1(sha1(sha1(md5($pass)))))));

wtedy to będzie hard ;p

Tak samo jakbyś zrobił sha1($pass) Nie ważne ile razy mieszasz, poczytaj o tęczowych tablicach, znawco.

[CTRL]

Możecie my przy okazji pomóc? Nie działa mi onkeyup (czy jakos tak) w formularzach żeby wykonać fun kcję js i zbadać sile hasła którą mam już zrobioną, znalazłem łatwy skrypt. To samo z dostepnoscią nicku w jquery co też już mam.

Przejde na sha1.
Zrobie implode tak jak mowicie, i to nawet w 2 miejscach

[toaspzoo]

możesz także zamiast onKeyUp zastosować OnKeyPress, OnChange...

[Fifi209]

Przejde na sha1.

Chyba md5 + sól