Forum PHP.pl

Skomplikowane to, udało mi się dojść do porozumienia z htmelem jeśli chodzi o sprawdzanie dostępności nicku i poprawności emaila, jquery oczywiście. Niestety nie słucha się mnie to coś jak robię porównywanie haseł. Niby prosty warunek, pass1==pass2, ale coś jest nie tak z pobieraniem danych z formularza :< Trudno, piszcie czego jeszcze brakuje (IMG:style_emoticons/default/smile.gif)

Może masz inne kodowanie haseł w bazie a inne porównujesz ?

Źle mnie zrozumiałeś, chodzi o hasła przy rejestracji, w js, wpisywanie hasła jakie chce się mieć i potwierdzenie hasła poniżej, a następnie wyświetlenie czy hasła się zgadzają. Tutaj baza nie ma nic wspólnego.

To ja się już pogubiłem totalnie, zdecydujcie się. MD5 + salt, sha1, czy co w końcu!?

Hashować to md5 + sól ew. jak chcesz coś bezpieczniejszego to użyj np. sha256, sha512

wszystko naraz !

Jak wsadzasz hash do hasha (np. sha(md5('tajnypass'))) nie zyskujesz nic poza większym ryzykiem kolizji a więc mniejszą liczbą kombinacji potrzebną do wygenerowania hasła.

Co do wielokrotnego hashowania był temat na tym forum a raczej dyskusja, poszukaj a znajdziesz.

Swoją drogą Twoje sha1(sha1(sha1( etc. nic nie daje bo hashy nie da się rozkodować, szuka się jedynie kolizji, ciągu który daje identyczny hash i np. Twoje hasło: trudne2! może mieć identyczny hash co: wlazł kotek na płotek 29349

Ponieważ bardzo wiele się zmieniło, chciałbym wszystkim przypomnieć o moim forum.
Pracowałem bardzo namiętnie przez te miesiące, i naprawdę staram się żeby skrypt wyglądał idealnie.

Lista zmian:
System rang, mojego autorstwa i myślę że świetny
Bbcode by Wookieb :3 Pozdrowienia dla niego, na PW też pomaga
Działający shoutbox z ajaxem (na samą myśl ile się męczyłem z polskimi znakami dreszcz mi po plecach przechodzi)
Przypinane tematy
Ogólna optymalizacja, wcześniej microtime 0,7s, teraz 0,07 (IMG:style_emoticons/default/smile.gif)
Teoretycznie nie ma możliwości wciśnięcia sqlinjection, XSS w sumie też nie.
Hasła zapisywane w md5, tak jak chcieliście (IMG:style_emoticons/default/smile.gif)
Działy na forum nie tylko jako takie z tematami, ale również można przekierować pod url, w łatwy sposób.
Sourcebin, czyli miejsce na kody (najlepiej php) razem z ładnym syntax highlighterem, czyli coś na kształt pastebina. (najciekawsze jest jednak to że do tego wykorzystam niebawem tę fantastyczną klasę wookieba)
Whitelista do serwera Minecraft, oparta na bazie mysql z podaniami przez formularze na forum, aktualnie usunięte
Skryptoteka z ciekawymi rozwiązaniami w środku, aktualnie również usunięte.
Możliwość wciśnięcia Pomógł (inspiracją było to forum) jeszcze niedoskonałe, ale pracujemy
Lepszy i poręczniejszy uploader na pliki, również z drag&drop, oraz przycisk FileFast, o którym w informacjach o koncie vip
Przechowywanie plików w bazie danej (blob) w przyszłości zastąpi to pliki na serwerze
Wszędzie bez wyjątku przyjazne linki (czy jak to tam się nazywa) czyli mod_rewrite

Jak widzicie jest bardzo wiele nowych i lepszych rzeczy, dlatego proszę o ponowną ocenę moich wypocin.
www.forum.cezary.pl


Edit: Już widzę że ostro testujecie, /user/54859375395739444444444444444444444 D:

Ten post edytował CTRL 7.07.2012, 15:38:24

Zwijanie kategorii mogłoby się opierać na ciastkach- wtedy by to miało sens.
Przycisk zmniejsz stronę zmienia się w srollera po kliknięciu.

Cześć!
1. Kiedyś się z tym męczyłem, ciastka jquery, ciastka php, jednak czort z tego wyszedł. Dopiszę sobie do listy rzeczy do zrealizowania, może się kiedyś doczekasz (IMG:style_emoticons/default/tongue.gif)
2. Nie rozumiem jak, dasz screena?

-no to wpisz zamiast 5485937539573944444444444444444444 liczbę -1. Walidacja jako taka , wymaga jeszcze trochę poprawek -jak porównywanie powtórzenia hasła- trochę zbija z tropu.

Magiczna liczba -1 jest wstępem do przetestowania czy skrypt jest ogólnie odporny na sql injection.

Ten post edytował Niktoś 7.07.2012, 15:56:58

Uploader:


Dlaczego, skoro trzymasz jako blob ?

Ogólnie całość wygląda ładnie, jestem na forum od początku, czyli od totalnej szarówki...
Forum przez ten czas otrzymało wiele dodatków oraz zostało na + przepisane obiektowo (IMG:style_emoticons/default/smile.gif)


Ten post edytował toaspzoo 7.07.2012, 16:15:10

@Niktoś: To nie sql injection tylko mod_rewrite (IMG:style_emoticons/default/smile.gif)
@Toaspzoo: To rozszerzenia avatara, które są przechowywane na serwerze. Napisałem że blob wkrótce zastąpi trzymanie na serwerze, jednak teraz pliki są dodawane na dwa sposoby.

Ja podrzucę kilka drobiazgów z kategorii estetyka i wygląd:
http://forum.cezary.pl/temat/86
znalezione oglądając w google chrome v20

• na dzień dobry
  

  [HTML] pobierz, plaintext 
  Warning: Invalid argument supplied for foreach() in /home/.../forum/funkcje.php on line 1857
  [HTML] pobierz, plaintext 

• pole treści posta jest wyjątkowo ściśnięte, a pole awatara nadmiernie rozciągnięte co powoduje odrobinę złe gospodarowanie przestrzenią
  po inspekcji i wywaleniu jednego parametru jest dobrze
  

  [CSS] pobierz, plaintext 
  .post-text{ width: 600px; }
  [CSS] pobierz, plaintext 

• w stopce wyłącz dla strzałki szybkiego przewijaka na górę
  

  [CSS] pobierz, plaintext 
  border-bottom: 1px dashed #666;
  [CSS] pobierz, plaintext 

• pod postem tam gdzie pojawia się barek i short link do danego posta jest coś nie tak z wyświetlaniem - zerknij

Ten post edytował klocu 7.07.2012, 17:46:54

Głównym moim błędem było to, że przeglądałem forum zalogowany jako ja. Teraz jak się wylogowałem i zacząłem buszować to faktycznie, rozjechane, foreach itp. przewijak w górę już nie ma podkreślenia, problem w tym że nie ja robiłem css i szukam tego czegoś od miesięcy, jednak nie miałem czasu żeby to dokładnie odszukać. Treść postu rozjechana na innych rozdzielczościach niż mój netbook... Naprawione, chyba, zobaczcie czy wygląda dobrze. Foreach też ten błąd nie występował jak byłem zalogowany ponieważ spełniały się odpowiednie warunki i zmienna była tablicą. Wystarczyło dać $options = array(); (IMG:style_emoticons/default/tongue.gif) . Rozjechania id posta tak samo nie występowało jeśli byłem zalogowany. Dzięki wielkie, jakie jeszcze usterki wyłapaliście?

(IMG:style_emoticons/default/ohmy.gif)
(IMG:http://znajomek.unixstorm.org/evilfox.png)

Ten post edytował toaspzoo 7.07.2012, 19:02:43

skad wiesz ze zostalo przepisane obiektowo hm?? nie widze zeby on o tym pisal

Bo się chwalił na komunikatorze, zresztą widziałem kawałki kodu (IMG:style_emoticons/default/smile.gif)

http://www.codinghorror.com/blog/2012/04/speed-hashing.html

Pozdro.

I pomyślcie trochę co wam da sól, psinco. Przy włamaniu sól jest znana (chyba, że ktoś definiuje ją w pliku .php - ale czy atakującemu nie chodzi o dostęp na najniższym poziomie? więc i tak zerowe zabezp.)

Ten post edytował mrWodoo 7.07.2012, 23:59:15

Prawdą jest że korzystam z klas, niektóre gotowe tak jak bbcode wookieba, niektóre własne, bardzo przydatne, ale również sprawiające kłopoty, malutkie, czasami. To co powiedziałeś wyżej @MrWodoo jest od dawna już powodem dla którego nie stosuję soli. Myślałem żeby w bazie trzymać sól dla każdego inną, ale jak ktoś się już dostanie to ma wszystko. Profesjonalista sól zawsze znajdzie, a hash go może zatrzymać, powinien. Jednak w praktyce różnie to wygląda jak sami wiecie (IMG:style_emoticons/default/smile.gif)