Witam.
Oddaję do oceny i wglądu moją stronę - http://www.blogpp.cu.cc
Strona nie wisi nawet miesiąca więc jeszcze nie jest zbytnio rozbudowana, ale wprowadzam poprawki praktycznie codziennie i dokładam starań aby zamieszczać ciekawe i/lub przydatne artykuły jak najczęściej.
Oceniajcie i komentujcie, potrzebuję obiektywnych informacji, a o takie ciężko patrząc na efekt swojej własnej pracy.
Pozdrawiam.
1
1
Całkiem ładnie. Skrypt Twój czy jakiś gotowiec? Design bardzo przypomina mi php.net :P Ale ogólnie fajnie.
Będziesz też pisał o jakiś innych językach czy tylko PHP?
4
Udało mi się założyć konto o nazwie </div></div> i zepsułem stronę (widać tylko "Witaj" oraz to menu po prawej u góry, reszta jest niewidoczna i muszę ręcznie usuwać </div></div> z kodu, aby cokolwiek widzieć) :<
0
Patryk27 napisał(a):
Udało mi się założyć konto o nazwie
</div></div>i zepsułem stronę (widać tylko "Witaj" oraz to menu po prawej u góry, reszta jest niewidoczna i muszę ręcznie usuwać</div></div>z kodu, aby cokolwiek widzieć) :<
co haker
0
@MVC - Sam napisałem skrypt od zera. Nie wzorowałem się na php.net, szczerze mówiąc nie pamiętam żebym kiedyś wchodził na tą stronę. Design tworzyłem tak, żeby dopasować go do loga, które zrobił mi znajomy grafik.
@Patryk27 - faktycznie, wygląda na to że zapomniałem dodać potrzebną obróbkę danych przy rejestracji. Dzięki za zwrócenie uwagi, poprawię jak najszybciej. Po aktualizacji zabezpieczającej pousuwam takie "hakerskie" konta :)
0
Nie no do manuala często zaglądałem. Nawet nie zdawałem sobie sprawy że jego adres to php.net - gdy czegoś potrzebowalem, wpisywałem w google. Do tego w czasie pisania tamtego wpisu php.net nie chciał mi się załadować. Nie widzę jednak dużo podobieństw, może oprócz kolorystyki (niebiesko - szary).
Na marginesie, zrozumiałem przesłanie, nie trzeba było 50 komentarzy, widzę że muszę też zabezpieczyć skrypt pod tym względem :) treść komentarzy jest przepuszczana przez htmlspecialchars() i bbcode, więc raczej nie da się zepsuć strony z komentarza w ten sam sposób, co z wpisu.
1
Fragment formularza rejestracyjnego:
?subpage=register&action=registeruser&quiz=9
W 5 minut można do tego bota napisać...
PS: ja nie dodawałem żadnych komentarzy. Na to konto aktualnie się nawet zalogować nie potrafię.
PS2: poczytaj o htaccess oraz mod_rewrite.
Dzięki temu zamiast http://www.blogpp.cu.cc/index.php?subpage=blog&entry=10 można byłoby zrobić coś w stylu:
http://www.blogpp.cu.cc/blog/10
0
@Patryk27 - Ktoś dodał, również z kontem typu </div></div>, więc myślałem, że to Ty :)
To zabezpieczenie to prowizorka oczywiście, swojego czasu dodam tam captcha czy inne, mocniejsze. na razie mam kilka ważniejszych rzeczy do poprawy :)
Z tym mod_rewrite to bardzo pożyteczna informacja. Zastanawiałem się w jaki sposób strony właśnie w ten sposób generują treść. Dzięki!
0
faktycznie, wygląda na to że zapomniałem dodać potrzebną obróbkę danych przy rejestracji. Dzięki za zwrócenie uwagi, poprawię jak najszybciej. Po aktualizacji zabezpieczającej pousuwam takie "hakerskie" konta
Zamiast dbać o to może lepiej, żebyś po prostu zamienił odpowiednie znaki na encje przy wyświetlaniu.
0
[size=100px; color:red; lol=0]test[/size] jako komentarz zostaje przetrawione na: <span style="font-size:100px; color:red; lol=0px;"> i wyświetlone w takiej formie :]
0
Ostrzeżenie ESET Smart Security
Dostęp zabroniony !
Szczegóły:
Strona:
http://www.blogpp.cu.cc/
Uwagi:
Dostęp do strony został zablokowany przez ESET Smart Security.
Strona znajduje sie na liście stron zawierających wirusy i inne niebezpieczne
aplikacje. Lista jest definiowana przez producenta.
www.eset.pl
1
Można nawet usuwać czyjeś komentarze:
http://www.blogpp.cu.cc/index.php?subpage=blog&entry=10&comment=id komentarza&action=deletecomment#0
W tej sposób przed chwilą z konta Patryk27 usunąłem komentarz - o ile dobrze pamiętam - użytkownika dupek.
0
To dziwne, ja przy takim czymś dostaję informację: Nie masz uprawnień do wykonania tej akcji
W skrypcie mam to zabezpieczone, jeśli twój nick jest różny od nicku właściciela komentarza to powinno być to niemożliwe.
Odnośnie antywirusa - prawdopodobnie problemem jest domena cu.cc. Facebook również uznaje to za złośliwy adres
1
Bartosz Jarzyna napisał(a):
To dziwne, ja przy takim czymś dostaję informację: Nie masz uprawnień do wykonania tej akcji
Tę informację dostałem tylko, gdy nie byłem zalogowany i chciałem usunąć komentarz.
Być może użytkownik w tym samym czasie usunął swój komentarz...
0
Niestety nie potrafię odtworzyć tej sytuacji u siebie na localhoście, a localhost ma ten sam skrypt, co strona.
Może masz jakieś dodatkowe pomocne informacje? Również od strony kodowej nie widzę aby to było możliwe, więc prawdopodobnie użytkownik sam usunął swój post.
Ale skoro uważasz, że nie widziałeś powiadomienia przy takiej próbie (gdy byłeś zalogowany) to możliwe, że jest gdzieś dziura.
0
Stronka nawet nawet, coś w dawnym stylu, gratuluję :]
Jedno co mnie zdziwiło to podkreślenie całego tekstu na stronie (w Operze):
ale ten problem nie występuje w Internet Explorer
Myślę, że opera błędnie wyświetla zawartość strony, a ona sama ma wyglądać tak, jak to jest w IE;