[www] forum.cezary.pl, Forum :) |
[www] forum.cezary.pl, Forum :) |
29.01.2012, 19:30:15
Post
#1
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
Witam Was bardzo serdecznie!
Na początek chciałbym poprosić moderatorów o wyjaśnienie zasad panujących w tym dziale, przeczytałem przypięte tematy i napisaliście tam: Nie dajemy pod ocene for dyskusyjnych (chyba że layout lub mod). Ja skrypt forum wykonałem samodzielnie, i pytam coś takiego mogę tutaj opublikować. Również nie można reklamować czegokolwiek, co jest trochę trudne gdy dajemy link do swojej strony. Ale mam nadzieję że nic mi się nie stanie. Programowaniem zajmuję się od grudnia 2009 roku, robiłem gry w ,,Game Makerze". Potem przestałem, i czasami bawiłem się HTMLem, aby początku ostatnich wakacji rozpocząć swoją przygodę z PHP. W listopadzie 2011 postanowiłem że spróbuję zrobić jakiś większy projekt. Zabrałem się za robienie uploadera plików. Można było sobie tam założyć konto logować się i dodawać pliki. Znudziło mi się, więc zrobiłem forum do którego dołączyłem opcję wysyłania plików. Ciągle je ulepszam i wprowadzam nowe rzeczy. Niestety nie mam pomysłu jak wypełnić to forum działami, więc prezentuję raczej tylko system. Proszę klikać w poniższy link: Prosiłbym żebyście bardziej oceniali skrypt niż layout ponieważ został on zrobiony żeby był jakikolwiek. Pozdrawiam Marcin Wieczorek -------------------- |
|
|
29.01.2012, 20:43:28
Post
#2
|
|
Grupa: Zarejestrowani Postów: 433 Pomógł: 64 Dołączył: 29.01.2011 Skąd: Warszawa Ostrzeżenie: (0%) |
Przy zwijaniu i rozwijania kategorii proponuje dodac ciasteczka, bo inaczej ta opcja praktycznie nie ma sensu.
Faktycznie, layout biedny ale ostatecznie nie kłuje w oczy ^^ Na Twoim miejscu pomęczyłbym się chwilę nad kolorystyką i pomyślał jak to bardziej skompresowac. Układ głównego forum z racji małej ilości treści mógłby być przedstawiony w trochę inny sposób. Mam swoje pomysły, ale nie chcę niczego narzucać. Po prostu pomyśl o tym Posty są za duże (w sensie przy większości tworzy się niepotrzebny whitespace). Ogólnie wygląda jak typowe forum w wersji bardzo... niemowlaczej [mam na myśli rozwój]. Daj testowe konto do forum/admina by moznabylo cokolwiek oceniac jezeli chodzi o skrypt. Cytat <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script> <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js"></script> ojjjj : ] Na pierwszy rzut oka logowanie wyglada bezpiecznie. -------------------- |
|
|
29.01.2012, 20:44:29
Post
#3
|
|
Grupa: Zarejestrowani Postów: 673 Pomógł: 106 Dołączył: 31.12.2008 Ostrzeżenie: (0%) |
takich krzaczków nie powinno tutaj być:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 435 lub forum.cezary.pl/index.php?p=warnlist&user_id=' You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1 -------------------- |
|
|
29.01.2012, 21:24:02
Post
#4
|
|
Grupa: Zarejestrowani Postów: 778 Pomógł: 84 Dołączył: 29.07.2010 Skąd: Gliwice / Pławniowice Mistrz niezmordowanej klawiatury. Ostrzeżenie: (20%) |
Będzie problem z zalogowaniem po dodaniu uzytkownika ze znakami ', ", po prostu jes zamieni, co będzie skutkowało błędem przy logowaniu...
-------------------- LS Easter egg < |
|
|
29.01.2012, 23:51:32
Post
#5
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
@prowseed: Skrypt jest w trakcie tworzenia, mam jeszcze wiele pomysłów. Minusiki skończyłem dopiero wczoraj rano, a w js jestem całkiem zielony. Podpatrzyłem trochę w przykładach i opanowałem ładowanie z jquery. Problem jest w tym że jak załaduje jedną wersje jquery to nie wszystko działa. Co rozumiesz przez skompresować? Co do układu to jest nieograniczona ilość sposobów, ale założenie było takie że będzie tam tego dużo, jak na każdym forum, phpbb, mybb, ipboard itp. Posty są za duże bo mam problem z ustawieniem tej pseudostopki pod postem. Chyba o to Ci chodziło. Konto możesz sobie zrobić, wystarczy rejestracja.
@r4xz: Nie powinno ich być, dlatego pokazuję Wam to żebyście wyłapali błędy i dziury. Napisz co dokładnie i gdzie wpisałeś że zobaczyłeś te błędy. @toaspzoo: Niestety o tym wiem, tylko nie do końca umiem to naprawić. Są te magicze ukośne kreski itp. ale nie do końca wiem jak tego używać. Mowa końcowa: (jak w Annie Marii Wesołowskiej, hihi) Dziękuję Wam bardzo za oceny i szukanie błędów, jestem tylko zawiedziony tym że ktoś próbował popsuć moje forum i jeszcze zamieszczał linki do błędów, wyzywał od nabków itp. Codziennie poprawiam jakieś błędy oraz dodaję nowości, więc wchodźcie na forum regularnie i najlepiej zróbcie sobie tam konta. Zauważyliście pewnie że są tam prywatne wiadomości, więc proszę zgłaszać mi tam wszystkie błędy jakie wyłapiecie. Wszystko ulegnie poprawie. Pozdrawiam -------------------- |
|
|
30.01.2012, 00:57:55
Post
#6
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%) |
Od początku: Obejrzałem stronę, zobaczyłem "Zmniejsz" w stopce, kliknąłem, strona się przeładowała, nic się nie zmieniło (chrome)
Wszedłem do jakiegoś tematu, ostrzeżenia użytkownika jakieś czarne prostokąty, wygląda to brzydko Rejestracja: Użyj ReCaptcha, zaznacz które pola są obowiązkowe, pokaż od razu czy nick jest zajęty, czy hasła się zgadzają i jaka jest siła (są gotowe skrypty) Po rejestracji: done. - co to za napis? Poza tym, powinna widnieć informacja o aktywacji a nie dopiero przy próbie logowania Profil: Ranga: true Wiadomości o których pisałeś znalazłem dopiero po 10 minutach z ciekawości kliknąłem na "0" bo znaczku wiadomości prawie w ogóle nie widać. Shoutbox - przy pisaniu przeładowuje całą stronę. Liczba użytkowników online w ciągu ostatnich 10 minut: 3 Test, Zastosuj implode Nigdzie nie mogę znaleźć opcji pobrania skryptu forum, więc nie ma więcej do oceny? -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR
Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP |
|
|
30.01.2012, 00:58:08
Post
#7
|
|
Grupa: Zarejestrowani Postów: 433 Pomógł: 64 Dołączył: 29.01.2011 Skąd: Warszawa Ostrzeżenie: (0%) |
@prowseed: Skrypt jest w trakcie tworzenia, mam jeszcze wiele pomysłów. Minusiki skończyłem dopiero wczoraj rano, a w js jestem całkiem zielony. Podpatrzyłem trochę w przykładach i opanowałem ładowanie z jquery. Problem jest w tym że jak załaduje jedną wersje jquery to nie wszystko działa. Co rozumiesz przez skompresować? Co do układu to jest nieograniczona ilość sposobów, ale założenie było takie że będzie tam tego dużo, jak na każdym forum, phpbb, mybb, ipboard itp. Posty są za duże bo mam problem z ustawieniem tej pseudostopki pod postem. Chyba o to Ci chodziło. Konto możesz sobie zrobić, wystarczy rejestracja. W forum chodzi o to by bylo lekkie, stabilne i chodzilo szybko. Forum tez powinno czytac sie szybko. Jezeli chcesz, by Twoje forum wygladalo jak kazde inne, to prosze bardzo. To byla tylko moja sugestia jak juz mowilem. Cytat @r4xz: Nie powinno ich być, dlatego pokazuję Wam to żebyście wyłapali błędy i dziury. Napisz co dokładnie i gdzie wpisałeś że zobaczyłeś te błędy. przy logowaniu w input: ' or 1=1-- przy rejestracji w nazwie: admin' order by' Swoja droga jak kodujesz hasla? Zauwazylem, ze 2 pierwsze znaki (czasem 3 chociaz to moze przypadek) pozostaja takie same, a reszta jest w jakis dziwny sposob mieszana. Nie lepiej md5? Cytat Mowa końcowa: (jak w Annie Marii Wesołowskiej, hihi) Dziękuję Wam bardzo za oceny i szukanie błędów, jestem tylko zawiedziony tym że ktoś próbował popsuć moje forum i jeszcze zamieszczał linki do błędów, wyzywał od nabków itp. Codziennie poprawiam jakieś błędy oraz dodaję nowości, więc wchodźcie na forum regularnie i najlepiej zróbcie sobie tam konta. Zauważyliście pewnie że są tam prywatne wiadomości, więc proszę zgłaszać mi tam wszystkie błędy jakie wyłapiecie. Wszystko ulegnie poprawie. No nie zartuj : ) Poza tym- jak mamy testowac skrypt nie widzac jego kodu? Mamy stwierdzic, ze dziala? //EDIT http://forum.cezary.pl/index.php?p=user&am...r=1%20and%201=0 Ten post edytował prowseed 30.01.2012, 01:22:52 -------------------- |
|
|
30.01.2012, 09:53:09
Post
#8
|
|
Grupa: Zarejestrowani Postów: 778 Pomógł: 84 Dołączył: 29.07.2010 Skąd: Gliwice / Pławniowice Mistrz niezmordowanej klawiatury. Ostrzeżenie: (20%) |
hasła z tego, co się dowiedziałem są kodowane w crypt(x, 12)
Ten post edytował toaspzoo 30.01.2012, 09:53:32 -------------------- LS Easter egg < |
|
|
30.01.2012, 19:24:37
Post
#9
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
Zapewne odkryłeś to analizując mój kod który zdobyłeś po ostatnim włamaniu Chciałem to zmienić na MD5, ale na crypt jakoś nie znalazłem crackera do łamania haseł, który mi ktoś podał na MD5, dlatego łamałem Twoje hasła do znajomka. Czemu crypt jest gorszy? Może mi ktoś powiedzieć?
Mam pytanie co do tego implode, o co dokładnie chodziło? Chyba wiesz że zalogowany byłeś tylko Ty, reszta to goście Edit: Przerobiłem skrypt tam gdzie były dziury. - logowanie - lista ostrzeżeń - pokazywanie danych użytkownika Ten post edytował CTRL 30.01.2012, 20:43:52 -------------------- |
|
|
30.01.2012, 21:22:44
Post
#10
|
|
Grupa: Zarejestrowani Postów: 32 Pomógł: 4 Dołączył: 8.06.2007 Skąd: Wrocław Ostrzeżenie: (0%) |
Zapewne odkryłeś to analizując mój kod który zdobyłeś po ostatnim włamaniu Chciałem to zmienić na MD5, ale na crypt jakoś nie znalazłem crackera do łamania haseł, który mi ktoś podał na MD5, dlatego łamałem Twoje hasła do znajomka. Chyba pora zainteresować się pojęciem solenia haseł... a przy okazji można zainteresować się też phpass'em. Czemu crypt jest gorszy? Może mi ktoś powiedzieć? Cytat The standard DES-based crypt() returns the salt as the first two characters of the output. It also only uses the first eight characters of str, so longer strings that start with the same eight characters will generate the same result (when the same salt is used).
-------------------- I twitr, meh and code.
|
|
|
30.01.2012, 21:57:15
Post
#11
|
|
Grupa: Zarejestrowani Postów: 778 Pomógł: 84 Dołączył: 29.07.2010 Skąd: Gliwice / Pławniowice Mistrz niezmordowanej klawiatury. Ostrzeżenie: (20%) |
zawsze można zrobić sha1(md5(sha1(md5(sha1(sha1(sha1(md5($pass)))))));
wtedy to będzie hard ;p a jeśli chodzi o znajomka, to mała szansa, że się włamiesz ;p Zatkałem wszystkie wymienione luki i filtruje wszystkie wejścia do bazy ... A nawet... twój sposób był prostszy ! nie zablokowałem możliwości uploadowania plików php do swojego folderu... młody byłem i głupi ;p -------------------- LS Easter egg < |
|
|
30.01.2012, 22:27:15
Post
#12
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
Pamiętaj że mam 790mb Twojego FTP które się już mi się pare razy przydało. Tam masz luk jak średników
O soleniu wiem tyle że chodzi o dwa albo ileś znaków nie hashowanych na początku czy gdzieśtam. Skoro twierdzicie że są lepsze metody to się zastosuję, przez ten czas przeczytałem troszkę w googlach. Najlepiej zrobić 2 hashe chyba Macie jeszcze jakieś luki? Edit: Naprawiłem te luki co hxor pokazał. Ten post edytował CTRL 30.01.2012, 22:40:18 -------------------- |
|
|
30.01.2012, 23:45:54
Post
#13
|
|
Grupa: Zarejestrowani Postów: 778 Pomógł: 84 Dołączył: 29.07.2010 Skąd: Gliwice / Pławniowice Mistrz niezmordowanej klawiatury. Ostrzeżenie: (20%) |
Za te moje 790 MB z mojego ftp wparuje do Ciebie policja i będziesz miał przychlast.
Jakbym miał tyle luk, co piszesz, to nie byłoby juz znajomka... -------------------- LS Easter egg < |
|
|
30.01.2012, 23:59:08
Post
#14
|
|
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%) |
Ktoś się wku...i skasuje wasze 2 "pseudo"strony jednocześnie
Co do tematu nadal sypie błędami: Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 447 Ten post edytował Damonsson 31.01.2012, 00:00:31 |
|
|
31.01.2012, 18:49:37
Post
#15
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
Błędami czy błędem? Ten co napisałeś właśnie naprawiłem, dzięki.
Toaspzoo: Znajomka by nie było, gdybym się nie zlitował i nie dał Ci kopii bazy, której sobie tą całą grzegżółką nie naprawiłeś. Dam nawet screena: dropbazyscreen.png Luk jest dużo, np ten do testowania kodu, highlight_file(); Przeglądałem sobie te skrypty. Dawajcie jeszcze jakieś luki ^^ Edit: Damonsson: ' i " też naprawiłem, dodając \ wystarczy? Czy da się obejść? Edit2: No widzisz, bo ja mam funkcje różne, i mam funkcję blokującą xss, sql injection itp. i wszędzie gdzie wprowadza się nick czy jakiś tekst wywołuję tę funkcję, więc z automatu załatałem 5 innych dziur. Ten post edytował CTRL 31.01.2012, 19:25:50 -------------------- |
|
|
31.01.2012, 19:01:12
Post
#16
|
|
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%) |
1. No to teraz daj jako login:
Cytat ' 2. Przy rejestracji podałem nick Cytat O'Neal efekt: Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mwcezary/ftp/m/bin/mcu/funkcje.php on line 584 Błąd zapytaniaYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'neal','wwi.wYYTmUfjM','false','true','0','User.','www@ww.ww','','178.36.74.28','' at line 1 @edit: Teraz jest ok. Luk większość połatałeś w porównaniu z tym co dałeś na samym początku, więc powinno być ok. Ten post edytował Damonsson 31.01.2012, 19:19:30 |
|
|
1.02.2012, 00:08:28
Post
#17
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%) |
Mam pytanie co do tego implode, o co dokładnie chodziło? Chyba wiesz że zalogowany byłeś tylko Ty, reszta to goście Tak, tylko wyświetlasz to w pętli i po każdej iteracji dodajesz przecinek i po ostatniej osobie też on jest. Zastosuj implode będzie dobrze. zawsze można zrobić sha1(md5(sha1(md5(sha1(sha1(sha1(md5($pass))))))); wtedy to będzie hard ;p Tak samo jakbyś zrobił sha1($pass) Nie ważne ile razy mieszasz, poczytaj o tęczowych tablicach, znawco. -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR
Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP |
|
|
1.02.2012, 10:50:18
Post
#18
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 8 Dołączył: 23.09.2011 Skąd: Stromiec Ostrzeżenie: (0%) |
Możecie my przy okazji pomóc? Nie działa mi onkeyup (czy jakos tak) w formularzach żeby wykonać fun kcję js i zbadać sile hasła którą mam już zrobioną, znalazłem łatwy skrypt. To samo z dostepnoscią nicku w jquery co też już mam.
Przejde na sha1. Zrobie implode tak jak mowicie, i to nawet w 2 miejscach -------------------- |
|
|
1.02.2012, 12:49:06
Post
#19
|
|
Grupa: Zarejestrowani Postów: 778 Pomógł: 84 Dołączył: 29.07.2010 Skąd: Gliwice / Pławniowice Mistrz niezmordowanej klawiatury. Ostrzeżenie: (20%) |
możesz także zamiast onKeyUp zastosować OnKeyPress, OnChange...
-------------------- LS Easter egg < |
|
|
1.02.2012, 18:55:24
Post
#20
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%) |
-------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR
Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP |
|
|
Wersja Lo-Fi | Aktualny czas: 27.04.2024 - 15:01 |