Prosty CMS Opcje

[jakub.drag]

Cześć
Popełniłem CMS - prosty i napisany proceduralnie, jednak w pełni modułowy.
Na początku myślałem, że taki mi wystarczy jednak teraz się zastanawiam czy może warto by było przepisać go na obiektówkę, przy okazji bym się trochę podszkolił.
Po zalogowaniu poprzerzucajcie podstrony i zobaczcie edycję elementu. Taki nowy bajer

http://tentego.tk/

http://tentego.tk/panel.php
admin: test
hasło: test

Jakby ktoś chciał poczytać: ignis.rar

Ten post edytował jakub.drag 27.09.2015, 18:50:36

[Pyton_000]

kod ?

[matysek83]

Zarejestrowałem się lecz nie mam dostępu. Przyjdzie mi coś na emaila?

[jakub.drag]

Matysek - gdzie nie masz dostępu? Dane do panelu są takie jak podałem. A logowanie usera... w budowie

[nospor]

Zeby w dzisiejszych czasach nie umiec zabiezpieczyć forma przed banalnym XSS to lekka przesada.

[jakub.drag]

Formularzy w panelu nie filtrowałem bo myślałem o przypadkach, gdybym chciał kiedyś dodać np js gdzieś na stronie...
Ale masz rację, publikując to tu powinienem to wrzucić, zaraz poprawię

Ten post edytował jakub.drag 27.09.2015, 19:50:56

[nospor]

gdybym chciał kiedyś dodać np js gdzieś na stronie...

Nie mowilem o tresci strony. Mowilem chocby o tytule. Wstawienie w zwykleingo inputa '" powoduje rozwalenie formularza

[jakub.drag]

Filtr dodałem. Nie było go wbrew pozorom nie z powodu braku umiejętności ale z lenistwa
Jakby ktoś coś na temat pierwszego postu, będzie miło

[nospor]

Nie wiem co ma wspolnego lenistwo z brakiem napisania prostego escape przed wlozeniem do danych do inputa... toz to pisze sie ten jeden wyraz z odruchu....

[jakub.drag]

Bo ja to mam w funkcji czyszczącej, w zamysłach miało wywalać cały HTML a jak się doda jedynkę w argumencie to skrypty i znaczniki miały zostawać (np. do treści stron). A dopiero teraz funkcje dokończyłem jak mi przypomniałeś

Ten post edytował jakub.drag 28.09.2015, 16:13:30

[nospor]

Naprawde w paczce, ktorą dajesz do sciagniecia, muszą sie znajdowac kilku megowe pliki, ktore wgrales za pomocą swojego cms??

Polecam pisac aplikacje z włączoną opcją wyswietlania WSZYSTKICH bledow. Tak, E_NOTICE to tez bledy.

//czyść zmienną
function clean($text){
global $db;

$text = trim($text);
define('CHARSET', 'UTF-8');
$text = mysqli_real_escape_string($db, $text);
return $text;
}

czyszczenie a escapowanie to dwa zupelnie inne rozdzialy i nie powinny byc w ogole ze sobą łączone.

Tutaj prawdopodobnie tez dajesz juz luke na XSS
$module = $_GET['cmd'];
$url = '?cmd='.$module.'&'.$atr.$view;
return $url;

add2header('<script src="system/js/tinymce/tinymce.min.js"></script>
Sciezki powinny byc bezwgledne a nie wzgledne - unikniesz problemow w przyszlosci

[jakub.drag]

muszą sie znajdowac kilku megowe pliki

Ależ absolutnie nie muszą! Wręcz nie powinno ich tam być, w sumie to zaraz ich nie będzie.
Wrzucę dodatkowo wersję z poprawionymi przekierowaniami podczas przesuwania bloków, no i to nieszczęsne xss.

[nospor]

Ależ absolutnie nie muszą! Wręcz nie powinno ich tam być, w sumie to zaraz ich nie będzie.

No i tez tak myslalem, ze nie muszą. A nastepnym razem sprawdz rozmiar wygenerowanego rara... Bo przeciez 10MB na tak maly projekt to stanowczo za duzo i powinna ci sie od razu zapalic lampka, ze jest tam cos, czego byc nie powinno