Witam. Ostatnio w wolnym czasie zacząłem kodować bloga internetowego opartego o własny system kontroli treści. Chciałbym byście ocenili kod czy jest bezpieczny i zwrócili mi uwagę na jakieś niejasności czy cuś.
Kod: link
Pozdrawiam.
Witam. Ostatnio w wolnym czasie zacząłem kodować bloga internetowego opartego o własny system kontroli treści. Chciałbym byście ocenili kod czy jest bezpieczny i zwrócili mi uwagę na jakieś niejasności czy cuś.
Kod: link
Pozdrawiam.
Dobrze by było, żebyś gdzieś postawił ten projekt, łatwiej będzie ocenić jak będzie się można przeklikać przez bloga
@Mjuzik: mógłbyś polecić jakiś darmowy hosting?
Rzuć okiem na https://pl.000webhost.com/#feature-table - jest pakiet free, na początek powinien wystarczyć.
No to na szybko co mi się rzuca w oczy:
http://pawelbldemo.ct8.pl/index.php
- wywal to index.php
z URL'a. Taka podpowiedź czego szukać - obczaj hasło mod_rewrite
(to samo się oczywiście dotyczy innych sekcji - np. portfolio.php
)http://pawelbldemo.ct8.pl/panel/changepassword.php
- po kliknięciu dostaję Błąd 404 Nie znaleziono obiektu
SQL Injection
- nie sprawdzałem, bo nie chcę Ci zrobić DROP database
, ale na 99% dałoby się to wykonać bez żadnego problemu :P"><script>alert(document.cookie)</script>
- nic się nie dzieje, strona chwilę myśli, a potem dostaję Przerwane połączenie Połączenie z serwerem zostało zresetowane podczas wczytywania strony.
@cerrato: dzięki za wszystkie rady. Odnośnie p. 11, nie dodałem pliku zmiany hasła na hosting aby nikt po prostu nie zmienił hasła :P