Witam. Ostatnio w wolnym czasie zacząłem kodować bloga internetowego opartego o własny system kontroli treści. Chciałbym byście ocenili kod czy jest bezpieczny i zwrócili mi uwagę na jakieś niejasności czy cuś.
Kod: link
Pozdrawiam.
0
1
Dobrze by było, żebyś gdzieś postawił ten projekt, łatwiej będzie ocenić jak będzie się można przeklikać przez bloga
0
@Mjuzik: mógłbyś polecić jakiś darmowy hosting? 
0
Rzuć okiem na https://pl.000webhost.com/#feature-table - jest pakiet free, na początek powinien wystarczyć.
3
No to na szybko co mi się rzuca w oczy:
- wchodzisz w portfoliio, masz 3 zdjęcia. Klikam na kucyka i pojawia mi się on na pełnym ekranie. Ale nie ma żadnego krzyżyka do zamknięcia, muszę cofnąć się w przeglądarce. Powinno albo się otworzyć w nowej zakładce, albo w tej samej - ale raczej jako lightbox, a nie że zastępuje całą stronę
- podczas logowania - jak podam złe dane, to mam wprawdzie komunikat o tym, że coś źle wpisałem, ale jednocześnie login i hasło znikają. Powinien login pozostać wpisany, jedynie hasło wyczyszczone
-
http://pawelbldemo.ct8.pl/index.php- wywal toindex.phpz URL'a. Taka podpowiedź czego szukać - obczaj hasłomod_rewrite(to samo się oczywiście dotyczy innych sekcji - np.portfolio.php) - Po przejściu do strony logowania zrób, żeby focus automatycznie się pojawiał w polu do wpisania loginu. Teraz muszę tam kliknąć zanim zacznę coś wpisywać. A przecież po to tam wchodzę, żeby wpisać login i hasło, więc staraj się ułatwiać userowi życie.
- "Lista wpisów" - na razie jak masz 2 to obecna postać może być, ale co w sytuacji, gdy pojawi się ich 170? Powinna być jakaś opcja sortowania, filtrowania, widoku listy a nie kafelków
- Bez sensu jest, że na liście wpisów nie ma opcji "dodaj nowy" i muszę klikać w innym miejscu. Nie jest to jakiś wielki problem, ale logiczne by było dodanie także tej opcji na liście już istniejących wpisów
- Zobacz co się stało jak dodałem bardzo długi wpis. Powinien zostać skrócony z opcją pokazania całości po kliknięciu, a nie jak obecnie (patrz - obrazek poniżej)
- Jeszcze odnośnie poprzedniego punktu i długiego wpisu - gdy go wklejałem to był podzielony na akapity, a po wklejeniu wyszła jedna wielka cegła. Przy edycji tego wpisu - podział na akapity jest OK, jedynie jego wyświetlanie na stronie się psuje.
- Edycja kontaktu - zmieniłem dane kontaktowe, wcisnąłem "zapisz". Pod spodem dostałem informację, że dane zmieniono - ale w polu edycyjnym pojawiły się dane sprzed edycji. Po sprawdzeniu na "stronie głównej" dane zostały zmienione
- Podczas zmiany logo - dobrze by było je pokazać, zanim wcisnę "zapisz". Bo może wskazałem zły plik i zamiast logo, teraz właśnie wrzucam nagie foto mojej
córkiżony :P -
http://pawelbldemo.ct8.pl/panel/changepassword.php- po kliknięciu dostajęBłąd 404 Nie znaleziono obiektu - Tak poza tym - zrób jakąś własną obsługę błedu 404, bo ten domyślny z hostingu to słaba opcja
- Jeszcze poszerzając pkt.7 i 8 - przez to, że wpisy są wyrównane do środka a nie do góry, jak wrzuciłem długi wpis, to wpis sąsiadujący ma najpierw pełno miejsca na górze, dopiero jego treść się pojawia w połowie wysokości. To jest bardzo niefajne
- Strona nie jest zabezpieczona przed atakami XSS oraz SQl injection. Szybkie sprawdzenie i efekt widać na drugim załączonym obrazku - po wejściu na stronę pokazuje się okienko z powiadomieniem. Ja dałem tylko polecenie wyświetlenia okienka, ale równie dobrze można w ten sam sposób dodać skrypt z czymś groźniejszym. Co do
SQL Injection- nie sprawdzałem, bo nie chcę Ci zrobićDROP database, ale na 99% dałoby się to wykonać bez żadnego problemu :P - Jeszcze odnośnie XSS - spróbuj dodać wpis o treści
"><script>alert(document.cookie)</script>- nic się nie dzieje, strona chwilę myśli, a potem dostajęPrzerwane połączenie Połączenie z serwerem zostało zresetowane podczas wczytywania strony.
0
@cerrato: dzięki za wszystkie rady. Odnośnie p. 11, nie dodałem pliku zmiany hasła na hosting aby nikt po prostu nie zmienił hasła :P