Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[alin4lex]

siteul a fost sters

PHP, MySQL

[dragon tech]

banuiesc ca profilul demo este al tau.

verifica te rog profilul, s-ar pute sa ai o surpriza. (apropo puteam modifica orice profil, username si parola inclusiv si a durat 5 min.)

unde crezi ca e gaura?

[alin4lex]

ok, am vazut dar nu prea pot sa imi dau seama de unde... te rog sa imi dai macar o idee (nu vreau sa imi dai solutia, vreau sa imi dau eu seama)...
:oops:
e cumva de la cooke?

[dragon tech]

da, intr-adevar e de la cookie.

cred ca cel mai bine e sa te gandesti la o solutie si apoi mai discutam, pentru ca mai sunt mici scapari de securitate dar mai putin grave (nu tin neaparat sa vii tu cu solutia, dar cred cel mai bun mod de a invata e sa incerci sa rezolvi singur o problema si abia cand te-ai blocat sa ceri un sfat)

[johnutz]

Io zik ca e de la faptul ca se poate modifica in acelasi timp si username-ul si parola si ca asta se face printr-un singur query.

Sau poate ca trebuia sa il las sa isi dea seama?

[dragon tech]

johnutz a scris: Io zik ca e de la faptul ca se poate modifica in acelasi timp si username-ul si parola si ca asta se face printr-un singur query.


nu vad cum asta poate fi o gaura de securitate si nu este despre asta vorba aici, cum ziceam principala problema este cookie

[oriceon]

Frumos, felicitari, chiar imi place.

[johnutz]

Deh, graba: http://www.skateportal.3x.ro/ a scris: Inregistrere reusita.
Acum te poti loga cu numele si parola alese de tine.

@dragon tech:
Aha, am vazut si eu acum ca pune user-ul in cookie, dar am putut schimba parola altuia inainte de a observa asta.

[dragon tech]

johnutz a scris: dar am putut schimba parola altuia inainte de a observa asta.

cum ai reusit sa schimbi parola?
eu nu am reusit, doar folosind formuarele de pe site (se face verificarea daca username-ul exista!)

[dragon tech]

Ok, am gasit.

Sa-i explicam si alin4lex cum stau lucrurile:

plus - cand se inregistreaza un nou utilizator verifci daca mai exista unul cu acelasi username foarte bine!

minus - dupa ce s-a inregistrat si intra in contul lui, daca merge la pagina de setari cont si in loc de username-ul lui introduce username-ul altui utilizator se intampla niste lucruri ciudate, aici trebuie sa mai faci niste verificari si o shimbare in query (ti-am spus ca nu-mi place sa dau mura-n-gura dar daca nu te descurci o sa te ajut bucuros)

minus - a ramas problema cu cookie

[lostone]

si strict de "cum arata" - vezi ca pe ffox ai mari probleme cu css-ul:
(un mouseover in pagina cu "dictionar")

[johnutz]

@dragon tech: Ai dreptate, asa e, dar nu imi dadusem seama din prima.

Fisierul http://www.skateportal.3x.ro/teme/4lx/css.css incepe cu Cod: <style type="text/css">
<!-- si se termina cu Cod: -->
</style> ceea ce nu e corect.

Problema de la dictionar vine de de la faptul ca pentru a:hover, a:link etc. e setata dimensiunea fontului, iar linkurile de la dictionar sunt inauntrul unui <font=6>.
In mod normal, linkurile ce apar intr-un text nu ar trebui sa aiba alta dimensiune fata de restlu textului, deci ar fi bine sa scoti font-size de la a:xxxxx.

[alin4lex]

ok, multumesc tuturor pentru sfaturi. dupa cum am spus sunt incepator si mai multe de invatat...
acum cred ca am rezolvat probelma.. (am facut alta varianta la care mai lucrez inca - in cookie nu mai trimit decat un id criptat - sau m-am mai gandit sa folosesc sesiuni.). la modificarea contului am uitat :oops: sa adaug un verificare.. dar s-a rezolvat si asta acum.... oricum va multumesc pentru sfaturi, comentarii si mai ales pentru partea cu ffox si css...

[dragon tech]

este recomandat sa folosesti o sesiune pentru a transmite id-ul de la o pagina la alta, incearca sa vezi ce se intampla daca utilizatorul si-a a setat in browser ca nu doreste sa primeasca cookie?

[PHPRomania Bot]