Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[vitea]

Este vorba de un magazin virtual care inca este inca in constructie.

Ce pret ai cere pe el daca ai fi in locul meu?

Adesa este: http://www.virtualshops.ro/capabelrom/

[i0nutzb]

având în vedere că pare a fi un osc modificat.. nu cred că ai putea lua prea mult pe el..
arată-ne şi partea de admin pentru a ne putea forma o părere completă (degeaba arată site-ul bine dacă admin e de kkt...)
dacă e făcut de tine.. tu ar trebui să ştii cât ai muncit pentru el :)

[vitea]

Nu este un osCommerce modificat. Magazinul este dezvoltat de mine din talpa pana-n crestet.

Nu zic ca nu m-am inspirat si din alte parti. Am preluat idei de la multe magazine virtuale pe care le-am vizitat, inclusiv de la cele dezvoltate pe baza de osCommerce si x-cart. Eu am Marketingul la baza (ca formatie profesionala). Si in manualul de Marketing aceasta se spune: nu trebuie sa inventezi tu roata, stutidiaza piata, vezi ce fac concurentii si fa si tu la fel, dar un pic mai bine (daca poti desigur!!!).

Pentru partea de admin arunca o privire la urmatoarea adresa:

http://www.virtualshops.ro/capabelrom/admin/
user: admin
pass: magazin

[ExcalIbvr]

Citat: Magazinul este dezvoltat de mine din talpa pana-n crestet.
Cum poti sa afirmi asta cu atata seninatate??
Ai preluat mai mult decat idei. Dar si asta ar fi OK daca lasi mentiuni catre autorii originali, ca doar asta inseamna open-source.
Daca iei un cod open-source si modifici ceva prin el, asta nu-l face automat al tau (aka dezvoltat de tine), stii?

Nice try...

[vitea]

Fratele meu, nu am luat eu codul open-source ca sa-l modific si sa ma dau apoi tare!!!
Dar am incercat sa dezvolt si eu atat cat am putut o functionalitate asemanatoare in masaura in care am considerat ca se merita acel lucru. Daca ai fi fost un pic mai atent trebuia sa fi observat ca inca mai am mult de munca si ca imi lipsesc inca multe module pe care le are osCommerce-ul. De altfel nici nu consider ca un magazin virtual de succes trebuie sa fie atat de aglomerat in chichite cum este osCommerce-ul. Cel putin asta este parerea mea. Am si un pic de baza pentru parerea mea, in sensul ca am construit pana acum in jur de 20 de magazine virtuale, cateva dintre ele functionand cu mii de vizitatori unici pe saptamana (cele pe care le-am optimizat pentru Google).

Iar atunci cand am spus " Magazinul este dezvoltat de mine din talpa pana-n crestet." am vrut sa spun ca eu am fost constructorul lui, ca am pus caramida peste caramida pentru a face un tot intreg. Dar aceasta nu inseamna ca am facut si caramizile. In unele cazuri le-am facut, cum a fost cazul cu clasa care-mi genereaza navigatia pe categorii/subcategorii sau clasa care imi asigura lucrul cu MySQL-ul, de multe ori insa am luat clase si functii pe care le-am gasit pe Internet (open source).

Astfel folosesc o clasa foarte buna de Richard Heyes (mime email), o clasa pentru generarea de tabele HTML (ti-o recomand si tie, este foarte practica) de Jason Lotito, o clasa pentru transfer de fisiere prin ftp de Olivier BONVALET, o clasa pentru generarea unui Popup Calendar de Mihai Bazon, cateva clase si functii osCommerce pe partea de admin. Si lista poate continua. Ce inseamna aceasta? Trebuie sa le pun numele fiecaruia din ei pe fiecare din paginile site-rilor mele? Ceea ce am facut este ca am pastrat headerele care indica autorul/autorii origininali in fisierele preluate. Cred ca este suficient.

Dar atat. Ma opresc aici.

Oricum intrebarea mea era: cati bani i-ai cere unui client pentru asa ceva?

[assault]

1.Nu e facut de tine 8) ... am gasit niste errori care te-au dat de gol
2.max 4-500$ poti sa ceri

[vitea]

In sfarsit un raspuns la obiect. Iti multumesc pentru el.

In privinta faptului insa daca este sau nu facut de mine, crede-ma ca sunt cel mai in masura sa apreciez acest lucru. Si daca esti de acord sa pui niste bani la bataie pot sa ti-o demonstrez si tie!!! Pentru ca cu vorba este foarte usor sa fii viteaz.

Daca tot afirmi ca 'm-am dat de gol' si ca ai gasit niste erori care ti-au permis sa faci afirmatia ca 'nu este facut de mine', spune-le pe nume. Atunci macar ar rezulta ceva folositor din toata discutia aceasta.

[assault]

umm intra pe site si da-i limba germana sa vezi ... poate o fi facut de tine da denumirile alea ma fac sa nu fiu asa sigur :roll: .

P.S recomand o verificare prin mail la inregistrare

[vitea]

Te referi cumva la faptul de ai cere cumparatorului sa-si activeze contul din casuta sa de e-mail?
Daca da, atunci trebuie sa afirm ca aceasta este intr-adevar o lipsa majora a magazinului. O lipsa care insa va disparea in faza finala a proiectului.

[vitea]

Si da, ai dreptate, atunci cand te comuti pe limba germana, totul este o varza. Va trebuie sa rezolv aceasta problema. Nu cunosc insa limba germana. Cunosc doar romana, engleza si rusa.

[whooper]

:) poate sunt eu mai pervers asa .. dar panel-ul denumit "Limbi" suna aiurea :)

Avand selectorul sub banner-ul site-ului nu cred ca mai trebuie si steagurile alea JOS in meniu .. Oricum, nu arata rau, la un test remote apare foarte ingrijit -- nu numai ce se vede pe ecran, ci inclusiv structura de directoare, setarile pentru directoarele alea, poze .. etc.

Chiar in cazul in care n-ai scris NICI UN SCRIPT dintre cele folosite, munca de integrare a dat un rezultat foarte frumos. In cazul in care as avea nevoie de UN MAGAZIN ONLINE, as da $500-$1000 USD pe asa ceva, cu rezerva adaptarii site-ului la produsele pe care le vand si adaugarea unui "payment processor".


Pentru alti $300-$500 as vrea o interfata B2B, bazata pe ceea ce se afla la cXML.org. Pe de alta parte, cand lucrezi cu diversi clienti care au deja magazine -- fizic vorbind, nu virtual -- o sa vezi ca este foarte indicat sa poti importa fisiere CSV sau XLS, ori XML cu catalogul de produse, pentru ca cei care au grija de stocuri folosesc mult mai rapid Excel-ul decat sa invete oricare alta aplicatie, oricat ar fi ea de simpla.

N-am reusit sa vad si partea de admin - User/Pass postate mai sus nu ma autentifica - dar ceea ce se vede pe acolo ma face sa cred ca tii ceva legat de categoriile, subcategoriile si produsele pe care le are omul de vanzare in directoare diferite -- ceea ce nu-i rau pentru ordonarea informatiilor dar nici bine -- daca ai multe categorii/subcategorii/produse si construiesti un nume pt subdirector in Win2k de exemplu esti limitat la 255 de caractere .. pot fi si alte limitari pe diverse sisteme de operare .. Uite ce scot de la mine din sistem : "The maximum length of each node name is 255 characters. The maximum length of a path, including slashes, is 1023 characters."

Inca o chestie .. nu mai folosi diacritice in NUME de directoare, exemplu :
"http://www.virtualshops.ro:80/capabelrom/R/P-suppliers/t-Indexul mărcilor/index.php",
"http://www.virtualshops.ro:80/capabelrom/R/P-suppliers/t-Поставщики/" .. etc.

Got it ? .. Revin cand se termina testul :)))

[vitea]

whooper, remarcele tale sunt binevenite. Voi tine cont de ele.

In ceea ce priveste importul datelor catalogului de produse dintr-un fisier Excel sunt 100% de acord cu tine. Daca mi-ar fi spus cineva acum un an asa ceva nu l-as fi crezut. Dar acum vreo cateva saptamani am avut niste tratative cu unul dintre cei mai mari importatori de calculatoare din Romania. Doreau un magazin virtual, iar o conditie esentiala era sa le fac importul datelor nici mai mult, nici mai putin din Excel!!! Mi-a trebuit o jumatate de zi ca sa realizez modulul, asa cu nu este un mare lucru.

Le-am cerut 1*** de euro pentru aplicatie si au fost de acord cu suma. Dar mi-au pus o clauza contractula prin care ma obligau sa le transfer drepturile de autor. Am refuzat categoric. Si acum vin cu o intrebare pentru toti aceia care au tot incercat sa ma 'dea de gol' precum ca nu as fi autorul aplicatiei:

De ce oare n-am vrut sa-mi incasez frumusel cei 1*** de euro in conditiile in care oricum ii castigam pe codul altora? Sunt totusi niste bani in conditiile Romaniei postrevolutionare, libere si democratice!!!

[whooper]

Oki .. Uite rezultate :

#1 SQL Injection affects /capabelrom/index2.php
The script has been tested with POST variables:
product_name=1&suppliers_id='&categories_id=3&price_min=1&price_max=1&x=131&y=11


Cod: Request POST /capabelrom/index2.php?O=advanced_search&P=products HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0)
Host: www.virtualshops.ro
Content-Length: 80
Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9
Connection: Close
Cod: Response HTTP/1.1 200 OK
Date: Sun, 15 Jan 2006 17:25:44 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/4.4.1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Sun, 15 Jan 2006 17:25:44 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9; path=/
Connection: close
Content-Type: text/html; charset=UTF-8

Cand bag parametrii tampiti in POST si primesc inapoi header 200OK ma cam astept sa fie ceva ciudat. http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf

#2 Cross Site Scripting Affects /capabelrom/index2.php
The script has been tested with these query variables:
?O="><script>alert('xss-magic-string-591111863');</script>&P=products

Cod: Request POST /capabelrom/index2.php?O="><script>alert('xss-magic-string-591111863');</script>&P=products HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0)
Host: www.virtualshops.ro
Content-Length: 96
Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9
Connection: Close
  Cod: Response HTTP/1.1 200 OK
Date: Sun, 15 Jan 2006 17:26:25 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/4.4.1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Sun, 15 Jan 2006 17:26:26 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9; path=/
Connection: close
Content-Type: text/html; charset=UTF-8

Daca e 200OK in header .. eu ma astept sa vad informatie, nu ceva fara continut sau pagini de eroare. Modifica header-ul sau pagina .. una din doua.

#3 Backup files -- Am gasit cateva fisiere de back-up pe acolo (*.bak) Nu mai lucra remote cu editoare de php/html ca-ti raman fisiere .BAK care pot fi citite in clar ..

#4 Directories with write permissions enabled
Affects /capabelrom/R
Affects /capabelrom/R/P-account
Affects /capabelrom/R/P-order_see_cart

Cod: Request PUT /capabelrom/R/P-order_see_cart/web_test_file.txt HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0)
Host: www.virtualshops.ro
Content-Length: 103
Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9
Connection: Close Cod: Response HTTP/1.1 200 OK
Date: Sun, 15 Jan 2006 17:32:43 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/4.4.1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Sun, 15 Jan 2006 17:32:43 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: sess_id=6e2552902e7f134933cb8832e195d9d9; path=/
Connection: close
Content-Type: text/html; charset=UTF-8

Ai grija, ca la setarile astea imi stochez si eu informatie la tine in cont :)



Cand am vrut sa urmareasca TOATE link-urile .. crawler-ul meu s-a pierdut prin "/capabelrom/R/" la nivele mai adanci (adica dupa 65 de minute de extras link-uri .. el tot gasea chestii noi p'acolo) .. deci cred ca e si o problema la link-urile cu schimbarea limbii folosite. Nush cum va indexa Google site-ul ala, dar in felul asta ramai foarte repede fara banda la contul respectiv in cazul in care e limitata.

Succese!

[vitea]

Nu stiu ce programel folosesti, dar cert este ca a dat niste rezultate cam ciudate.

#4 Directories with write permissions enabled
Affects /capabelrom/R - are setat drepturi de 755, am verificat acest lucru
Affects /capabelrom/R/P-account - nu exista un astfel de director
Affects /capabelrom/R/P-order_see_cart - si nici acesta nu exista

Tot ceea ce urmeaza ma jos de /R/ sunt niste fake directories si sunt schimbate mai apoi prin mod_rewrite si transformate in parametri QUERY_STRING

Oricum, iti multumes pentru cele afisate mai sus. Siguranta aplicatiei este o problema care ma proocupa in mod serios si in masura in care m-am priceput am incercat sa acopram cat mai multe gauri. In special m-am ferit de SQLInjection si cred ca cu acesta nu am probleme.

Desi trebuie sa recunosc ca sunt anumite lucruri pe care nu stiu cum sa le interpretez. O sa-mi iau un timp de gandire in noaptea aceasta si vad eu la ce concluzie ajung.

[whooper]

De obicei apar chestii care nu sunt tocmai OK in cazul in care exista niste setari care nu respecta standarde HTTP 1.0/1.1. Acolo e clar cand se specifica o valoare 200OK in header, cand e 404, 403 .. ce inseamna "moved permanently" sau "auth required" si asa mai departe :)

Rezultatele ciudate nu cred ca au cum sa fie de la scripturile mele care citesc link-uri din pagini, trimit date GET si POST prin form-uri si asculta headere de raspuns. Ele fac automat ceea ce as face eu manual. Cand am o eroare de parametrii in POST/GET .. ma astept sa primesc si valoarea corecta in header .. pentru mesajul de eroare afisat pe ecran. Nu de altceva, dar NU FAC Sql Injection sau Remote Write, ci DOAR TESTEZ posibilitatea.

Poate fi intr-adevar cazul de REWRITE RULES insuficient testate pentru directorul /R.


PS: http://www.phpromania.net/forum/viewtopic.php?p=19009#19009

[PHPRomania Bot]