Din pacate nu m-a interesat f mult partea de securitate ma refer strict la partea de programare php ..am un site si un script de adaugare si prezentare articole...se ofera careva sa imi gaseasca oarece bug-uri de securitate?
adresa script-ului este minimag.ro/articole
ma ofer cobai
Moderatori: coditza, Emil, Moderatori
-
bamse
- PHPRomania Supporter
- Mesaje: 21
- Membru din: Mar Oct 25, 2005 8:09 pm
- Localitate: Bucuresti
- Contact:
1. fisierul exista > are nume lung ..pt SEO 
2. fix it that (aveam o variabila pusa de doua ori )
3. mmm...am vazut si eu bug-ul de cateva ori; da nu apare de fiecare data; oricum eu mai stiu un bug la questbook ..acu l-am descoperit ca mi-ai atras tu atentia din nou
4. nu prea inteleg aici unde e bug-ul ...adica spui ca te-a lasat sa trimiti mesaj fara sa completezi si campu "telefon"? oricum e grav si asa ..verificare este ..- > cred ca nu mai fac verificarile cu javascript ..cu toate ca e mai user friendly - da are un are dezvantaj: face beep f urat cand sare "eroarea" in fata
5. depinde de rezolutie la mine de ex nu incape ..plus ca face bine la SEO
x. Care-i faza cu x-urile ca eu nu m-am prins?
Ce-ar trebui sa repar?
Ps: multumesc frumos pt raspuns ...cu toate ca nu a fost on topic ...da mi-a prins bine
2. fix it that (aveam o variabila pusa de doua ori )
3. mmm...am vazut si eu bug-ul de cateva ori; da nu apare de fiecare data; oricum eu mai stiu un bug la questbook ..acu l-am descoperit ca mi-ai atras tu atentia din nou
4. nu prea inteleg aici unde e bug-ul ...adica spui ca te-a lasat sa trimiti mesaj fara sa completezi si campu "telefon"? oricum e grav si asa ..verificare este ..- > cred ca nu mai fac verificarile cu javascript ..cu toate ca e mai user friendly - da are un are dezvantaj: face beep f urat cand sare "eroarea" in fata
5. depinde de rezolutie la mine de ex nu incape ..plus ca face bine la SEO
x. Care-i faza cu x-urile ca eu nu m-am prins?
Ce-ar trebui sa repar?
Ps: multumesc frumos pt raspuns ...cu toate ca nu a fost on topic ...da mi-a prins bine
-
Pirahna
- Senior Member
- Mesaje: 5985
- Membru din: Dum Aug 22, 2004 2:04 am
- Localitate: la birou
- Contact:
poi ...
nu lasa domain name-ul sa se termine cu litere idioate
(.xxx nu exista nu?)
si username-ul de la email ar trebui sa fie mai lung (exista x@yahoo.com ?)
nu lasa domain name-ul sa se termine cu litere idioate
(.xxx nu exista nu?)
si username-ul de la email ar trebui sa fie mai lung (exista x@yahoo.com ?)
|
-
carco
- Senior Member
- Mesaje: 2799
- Membru din: Joi Mai 27, 2004 4:36 pm
- Localitate: Bucuresti
- Contact:
In count.php (de ex. articole/count.php?art=9898988&link=count)
Verfica daca gasesti acel art si, numai in caz afirmativ fa redirectul. (altfel primesti un 404, ca "-9898988.html" nu exista.
Aici cred ca e si o greseala de implementare, countul asta merge doar daca articolele sunt vizitate din site-ul tau (adica prin count.php). Daca eu ma duc direct la linkul articolului, nu mai trec prin count.
add_article, faci verificarea numai JavaScript, daca dau disable la JS pot trimite un forumular fara nimic completat.
In sectiunea comentarii..... permiti adaugarea de cod HTML, cam riscant.
(un cobai anterior ti-a bagat un javascript, eu ti-am pus google, vezi )
In vote.php (probabil si la comentarii) accepti orice... nu conteaza ca articolul nu exista, nu conteaza ca eu dau punctajul -999999999.
In general, nu prea faci nici o verificare server-side (in php), norocul tau mare e ca te ascunzi in spatele lui display errors=off.
Daca vrei sa-l testezi la sange, pune display errors = on si error reporting E_ALL. Cand nu mai vezi nici un notice/warning... e OK.
Cum am mai zis si mai sus, afisarea articolelor e defectuoasa, nu ar trebui sa faci redirect la nume_articol.html ci sa ai o pagina display.php?id=... care sa-ti afiseze html-ul din articol. Pt. SEO poti face un rewrite de genul
^(.*)-(.*).html$ -> display.php?id=$2
Verfica daca gasesti acel art si, numai in caz afirmativ fa redirectul. (altfel primesti un 404, ca "-9898988.html" nu exista.
Aici cred ca e si o greseala de implementare, countul asta merge doar daca articolele sunt vizitate din site-ul tau (adica prin count.php). Daca eu ma duc direct la linkul articolului, nu mai trec prin count.
add_article, faci verificarea numai JavaScript, daca dau disable la JS pot trimite un forumular fara nimic completat.
In sectiunea comentarii..... permiti adaugarea de cod HTML, cam riscant.
(un cobai anterior ti-a bagat un javascript, eu ti-am pus google, vezi )
In vote.php (probabil si la comentarii) accepti orice... nu conteaza ca articolul nu exista, nu conteaza ca eu dau punctajul -999999999.
In general, nu prea faci nici o verificare server-side (in php), norocul tau mare e ca te ascunzi in spatele lui display errors=off.
Daca vrei sa-l testezi la sange, pune display errors = on si error reporting E_ALL. Cand nu mai vezi nici un notice/warning... e OK.
Cum am mai zis si mai sus, afisarea articolelor e defectuoasa, nu ar trebui sa faci redirect la nume_articol.html ci sa ai o pagina display.php?id=... care sa-ti afiseze html-ul din articol. Pt. SEO poti face un rewrite de genul
^(.*)-(.*).html$ -> display.php?id=$2
Programator cu experienta in Magento/ZF, Typo3/Flow3, Symfony, B2B, CRM, ERP, SMB... vand betoniera
-
bamse
- PHPRomania Supporter
- Mesaje: 21
- Membru din: Mar Oct 25, 2005 8:09 pm
- Localitate: Bucuresti
- Contact:
1.
Am remediat problema din count.php -> daca nu exista articol face redirectare catre index.php!
Sunt constient de faptul ca nu se mai contorizeaza nr de vizualizari daca este accesat direct link-ul catre articolul insa momentan am raman la varianta asta - initial scriptul era facut exact cum ai sugerat tu, exista o pagina view_articol.php?id=x
2.
Hosting-ul meu dezactivase de curand erorile (citez: "pentru ca nu este de dorit pe un server "production" si partial pentru ca pot fi dezvaluite cai sau alte amanunte de folos unui posibil exploit." ), am modificat in .htacces si acum imi apar erorile.
3.
pt contact.php, book.php?action=add, comments.php am dezactivat verificarile facute cu javascript, acum le fac server-side.
Multumesc em@il
ps pt Pirahna am gasit o functie care m-ar ajuta sa verific daca exista acel domeniu ..nu am stat sa studiez prea tare treaba ..dar pana la urma m-am gandit ca e mai sigur cum e acum. Functia se numeste:
Am remediat problema din count.php -> daca nu exista articol face redirectare catre index.php!
Sunt constient de faptul ca nu se mai contorizeaza nr de vizualizari daca este accesat direct link-ul catre articolul insa momentan am raman la varianta asta - initial scriptul era facut exact cum ai sugerat tu, exista o pagina view_articol.php?id=x
2.
Hosting-ul meu dezactivase de curand erorile (citez: "pentru ca nu este de dorit pe un server "production" si partial pentru ca pot fi dezvaluite cai sau alte amanunte de folos unui posibil exploit." ), am modificat in .htacces si acum imi apar erorile.
3.
pt contact.php, book.php?action=add, comments.php am dezactivat verificarile facute cu javascript, acum le fac server-side.
Multumesc em@il
ps pt Pirahna am gasit o functie care m-ar ajuta sa verific daca exista acel domeniu ..nu am stat sa studiez prea tare treaba ..dar pana la urma m-am gandit ca e mai sigur cum e acum. Functia se numeste:
Cine este conectat
Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 4 vizitatori