[Skrypt] Do oceny Opcje

[PawelC]

Chciałbym abyście przetestowali skrypt jako zwykły użytkownik i zgłosili mi zauważone błędy.

Krótki opis:
- podlinkowany tytuł
- podlinkowany autor wpisu
- podlinkowane tagi
- kanał rss
- dynamicznie generowana mapa( na chwile obecną nie działa)
- mod_rewrite ( w wersji testowej nie jest włączone ze względu na ograniczenia mojego serwera)
- moderacja
- rejestracja użytkowników dodających wpis
- prosta instalacja

Jako użytkownik, można:
- po rejestracji uzyskać dostęp do panela gdzie można dodawać zakładki

Jako administrator:
- ustalać ilość wpisów wyświetlanych w kanale rss
- moderować wpisy
- dostęp do panelu tylko dla administratora, co za tym idzie konfiguracje skryptu

Zadanie skryptu
Głównym zadaniem skryptu jest zbudowanie jak największego site, dlatego większość co było możliwe zostało podlinkowane.

Warunki użytkowania
Jedyny warunek który trzeba spełnić to nie usuwać linku w stopce.

CYTATWersja do przetestowania znajduje się pod adresem: http://www.exploitek.info/skrypt/

Skrypt udostępnie dopieru po przetestowaniu, ponieważ niechcę udostępniać czegoś co wymaga wielu poprawek. W najbliższym czasie w skrypcie zostanie również podlinkowana data, oraz wprowadzone kilka zmian, priorytetem na chwile obecną jest zbudowanie dynamicznej mapy oraz dostosowanie wyglądu skryptu pod Internet Explorer.

Proszę o zgłoszenie ewentualnych błędów, ale również propozycji i sugestii odnośnie skryptu.

Skrypt jest przydatny dla osób które zajmują się seo, ale zawsze można znaleźć dla niego inne zastosowanie.

Ten post edytował ExPlOiT 25.04.2008, 19:45:18

[Crozin]

RSS:
1) Nie jest RSSem - wysyłany jest nagłówek Content-type: text/html
2) Krzaczy się (ogonki)

Jako zalogowany:
1) Po co mi link do rejestracji?

Techniczne:
1) Nie filtrujesz danych pochodzących od użytkownika (jedynie magic_quotes) Cię w minimalnym stopniu (jednak stanowczo za małym) zabezpiecza - nie ma problemu z wykonaniem ataku XSS (używaj htmlspecialchars" title="Zobacz w manualu PHP" target="_manual)
2) Nie sprawdzasz poprawności wprowadzanych danych (no chyba, że qwerty to poprawny adres email)

To tak "na szybko"

Ten post edytował Crozin 25.04.2008, 20:25:19

[PawelC]

Wprowdziłem filtr na wpisywane słowa w tytule, opisie, oraz tagach, a także weryfikacje adresu e-mail.
Sprawdzanie wprowadzonych danych wprowadziłem np. $tytul=htmlspecialchars($tytul);

Ten post edytował ExPlOiT 25.04.2008, 20:55:45

[tommy4]

Techniczne:
1) Nie filtrujesz danych pochodzących od użytkownika (jedynie magic_quotes) Cię w minimalnym stopniu (jednak stanowczo za małym) zabezpiecza - nie ma problemu z wykonaniem ataku XSS (używaj htmlspecialchars)

Haha, addslashes (oraz intval) jest w wystarczającym stopniu zabezpieczeniem dla bazy.

ExPlOiT: nie wsadzaj do bazy treści zmodyfikowanej, tylko taką jaką przesłał użytkownik, dopiero przed wyświetleniem użyj htmlspecialchars.

[Crozin]

@tommy4:
Dla zapytań stosuje się mysql_real_escape_string (lub podobne dla innych baz)
I gdzie ja napisałem, żeby htmlspecialchars() stosować przed wrzuceniem do bazy?

[PawelC]

Haha, addslashes (oraz intval) jest w wystarczającym stopniu zabezpieczeniem dla bazy.

ExPlOiT: nie wsadzaj do bazy treści zmodyfikowanej, tylko taką jaką przesłał użytkownik, dopiero przed wyświetleniem użyj htmlspecialchars.

Ok ja przed dodaniem do bazy używałem htmlspecialchars i przy wyświetlaniu z bazy. A tak z czystej ciekawości, dlaczego tego nie używać przy dodaniu do bazy? Fakt, faktem największe niebezpieczeństwo jest przy pobieraniu, i być może dlatego podczas dodawania do bazy nie trzeba tego użyć.

[Crozin]

A po co Ci w bazie jakiś syf? Znaki: <, >, &, ', " są "niebezpieczne" tylko dla (X)HTMLa - i to go trzeba bronić przed nimi - wysyłając maila (jako: text/plain) nie musisz tego filtorwać htmlspecialchar'em)