Witam. Proszę o sprawdzenie mojego kodu, przykładowej stronki - Blip.pl ( ;d ). Proszę o ocenienie, co źle zrobiłem, co można by poprawić, czego brakuje, chociaż nie wiem czy nie za mało tego kodu do jakiejkolwiek oceny. Wstawię na pastebin, ponieważ jest to kilka plików (krótkich).
http://pastebin.com/638HH8kw - plik index.php
http://pastebin.com/BSfx5pVR - logowanie
http://pastebin.com/YMbMuuj6 - rejestracja
http://pastebin.com/LKtnmQRa - wyloguj
0
0
Index.php
linia 29,37 itd - po to jest PDO żebyś nie używał już addslashes, strip_tags itd
132 - Jak wszędzie jest klasa to active to co te ify, przy porównywaniu integerów używa się == a nie ===
Generalnie
- funkcjonalność minimalna (gdzie choćby możliwość zarządzania kategoriami)
- sieczka w kodzie - piszesz strukturalnie
- plus za używanie PDO i chęci
Najlepiej gdybyś podał też linka
1
addslashes NIE zabezpiecza przez MySQL injection, co jest nawet w manualu zapisane
@turson: ZAWSZE lepiej jest używać === niż == - jeżeli Ci się wydaje inaczej to po prostu masz małe doświadczenie z PHP [i ogólnie słabo typowanymi językami] jeszcze ;)
0
@adriano1995: Jeżeli piszesz w temacie to odpowiadaj normalnie, nie komentarzem. "dzięki" się nadaje na komentarz, reszta nie.
Skoro używasz PDO to przeczytaj manual/kursy, cokolwiek do tego. PDO ma przecież "wbudowane" zabezpieczenia przed tym (prepare i bindvalue - przez to nie przejdzie MySQL Injection)
0
Nie chciałem spamować tematu innym pytaniem. Wiedziałem o tym, że PDO do tego jest i że filtruje te dane, ale byłem przekonany że addslashes też pomaga. poza tym, chyba lepiej dodać te kilka funkcji "filtrujących", chyba addslashes nic tu nie zaszkodzi, tylko skoro nie pomaga, to nie używając tego PDO, jak zabezpieczyc?
0
Zaciekawił mnie troszkę ten tekst w stopce "Copyright © 2013 Blip.pl", ale to nic. Ja mogę dodać że w wylogowaniu niszczona jest cała sesja - a możliwe że w sesji mogą być trzymane inne rzeczy. Nie wiem jak bardziej obeznani z tematem do tego podchodzą - ale ja robię w sesji tablicę tablic :)
$_SESSION['security']['logged']=true;
A potem mogę zrobić
$_SESSION['security']=null;
1
adriano1995 napisał(a):
Nie chciałem spamować tematu innym pytaniem. Wiedziałem o tym, że PDO do tego jest i że filtruje te dane, ale byłem przekonany że addslashes też pomaga. poza tym, chyba lepiej dodać te kilka funkcji "filtrujących", chyba addslashes nic tu nie zaszkodzi, tylko skoro nie pomaga
<font size="1">nie</span>
<font size="2">nie</span>
<font size="3">nie</span>
<font size="4">nie</span>
<font size="5">nie</span>
<font size="6">nie</span>
<font size="7">nie</span>
i jeszcze raz NIE
to nie używając tego PDO, jak zabezpieczyc?
Używać PDO, a nie zadawać bezsensowne pytania ;)
@adriano1995: masz tu fajny art o bezpieczeństwie w PHP: https://icedev.pl/art/sec1.pdf