SlovakChat

lol, tak pekne sa to zvrhlo... aspon ponaucenie pre ostatnych, ze treba uz od zaciatku mysliet v maximalnej miere na bezpecnost aplikacie, ktora sa vytvara...

>Tominator: prerob to radsej od zakladov

ktory? ten o tej administracii? ze ked chces zmaznut nieco z DB a nejde ti phpmyadmin tak ti stacia 3 riadky v php

Tých chýb nie je veľa? Tak buď si sa rozhodol baviť dnes celé PCF, alebo nechápem, túto vetu snáď ani nemôžeš myslieť vážne bolo ti to povedané mnohokrát... Celá koncepcia, vrátane navrhnutia DB je zlá od základu a tak ju treba prerobiť = začať úplne od začiatku, lebo inak budeš vkuse len niečo zaplátovať...

presne tak, treba to prerobit uplne cele, najskor poriadne nad tym porozmyslat, co ako bude fungovat (rozmyslat hlavne do buducnosti) a potom to implmentovat a nie naopak, ako si to pravdepodobne ty spravil... robit taketo chyby si nemozes dovolit, ked chces vypadat aspon trocha seriozne a profesionalne, v opacnom pripade budes vsetkym len na smiech a neobvinuj prosim ta nikoho odtialto, lebo skor ci neskor by na to urcite niekto iny prisiel a mozno ze by si dopadol este horsie, napr. by ti zmazali komplet celu databazu a pod.

my ti chceme len dobre

ono cela "chyba" bola v tom že som v HTML mal input s menom nic víc ... takže chýb tam veľa nie je ... viem ešte o niekoľkých ale tie budem riešiť keď doriešim túto ...

len pre vašu informáciu: Nenávidím JS ale táto doba je smutná ...
stenley zmazali ste mi komplet celú tabulku a záloha nieje ani z pred pár mesicov takže mám viac než smolu ...

triminka: jasné že som si hneď zbúchal provizórnu a odstránil som tie dlhočízne posty ale tie posty mi teda budú chýbať ...

uz na zaciatku som ti hovoril, ked som sem prisiel s upozornenim na bezpecnostne chyby v tvojom chate, ze si to osetri alebo uplne prerob, ale ty nie... a vonkoncom nie len ten input s menom je problem... ako je mozne, ze sa da pripojit do miestnosti, ktora ani neexistuje? alebo ako je mozne, ze sa viacero ludi prihlasi sucasne pod tym istym nickom, to je proste nepripustne... zabudol si na vela podstatnych veci, ale clovek sa uci (aj) z vlastnych chyb, tak dufam, ze "dalsia" verzia bude uz proti takymto "utokom" imunna a ze ju nespustis uz zajtra, ako si planoval povodne

vymazanim db som myslel odstranenie vsetkych tabuliek aj s datami, co v nich mas, nie len vymazanie nejakych "bezvyznamnych" postov z tabulky...

ono tože je viac ľudí naraz prihlásených pod jedným nickom mi nerobí probém a do neexistujúcej miestnosti vojsť nemôžeš ...

prečo ja viem že mám chyby v systéme ... dokonca priznávam že túto dieru som si dlho nevšimol ... ale radu vymazať a začať odznova odmietam ...

Ok, odflákol to, no a čo. Síce tu každý druhý na všetky tie chyby upozornil a Tominator ich ignoroval, ale to nie je dôvod na písanie sprostých príspevkov (mariachi & jebot).

Vyzerá to tak, že architektúra funkcií s 11 parametrami a prílišná prepchatosť JavaScriptom vedie k veľkej chybovosti. Takže, Tominator, možno by bolo najlepšie skúsiť to odznovu. Šablónu už máš, tak sa môžeš sústrediť len na samotný systém.

Možno by bolo fajn pokúsiť sa to spraviť objektovo (aj keď to nie je nevyhnutnosť), každopádne, musíš dať ďaleko väčší dôraz na kontrolu vstupov. To znamená, že najprv si musíš dobre premyslieť návrh, až potom začať písať kód (lebo to dopadne ako teraz, budeš len zaplátať a zaplátať a s každou novou funkciou prídu nové chyby).

Možno by bolo dobré trochu sa inšpirovať MVC architektúrou, teda oddeliť databázovú a zobrazovaciu časť od riadiacej. Dostaneš nejaké dáta (od užívateľa), skontroluješ ich prvý krát, rozhodneš sa, aké dáta ešte z databázy potrebuješ, skontroluješ ich druhý krát, pretransformuješ si ich do vhodnej podoby a skontroluješ ich tretí krát. Potom ich zobrazíš prostredníctvom šablóny. Prvá kontrola by mala brániť HTML tagom a iným nešikovnostiam a tiež ošetriť dáta na SQL injection, ďalšie by mali zabrániť XSS útokom. A naozaj zabudni na toľko JavaScriptu (alebo to aspoň poriadne kontroluj), je to neprístupné a náchylné na rôzne zákernosti.

Možno by tiež nebolo úplne odveci zverejniť zdrojáky, nech ti s tým pomôžeme a zbavíme ten kód zbytočných chýb. Tak sa to možno naučíš najlepšie. Totiž, z marketingového hľadiska ten projekt úspešný byť nemôže. Jedine sa na tom sám môžeš veľa naučiť, ale treba sa k tomu postaviť inak.

preco na nich nadavas? Sa tes, ze ti prisli na chyby !!
mal by si im dakovat ! aj mne by mohli takto kuknut web, co mam v profile, uz som poprosil triminku a par veci mi nasiel, ale neverim, ze su jedine..

inac, pre pobavenie:
http://www.pcforum.sk/ochrana-php-skrip ... tml#320827

Ja som tú tvoju novú verziu chatu neštudoval, ani neviem aké tam boli chyby, ale ak za chybu označíš prítomnosť inputu, tak mám pre teba len jednu radu - vzdaj to, kvalitný a nezraniteľný chat neurobíš nikdy!

To, že je v HTML input ešte nie je chyba, chyba je, ak nie je tento input ošetrený. Je to hranie so slovíčkami, ale kým to aj ty nezačneš takto chápať, tak máš problém.
Môžeš mať stovky vstupov a výstupov, ak sú ošetrené, tak ti nič nehrozí.

no ono problém bol v tom že vo FF si môžeš zmemiť vlastnosti stránky takže celé zabezpečenie šlo dole vodou ale toto bola vážna chyba z mojej strany

p360t nepoužil som tú 11 parametrovú funkciu používam OOP a taktiež mám oddelenú zobrazovaciu a logickú časť ... (že Stanley ) ono toto fórum má celkom pekný pagerank a tak zverejnenie zdrojakov neprichádza do úvahy ... aspoň zatiaľ nie ...

vravím že nemám rád JS preto sa ho snažím mať čo najmenej ...

chyba nie je ze ti browser ponuka moznosti ako jednoducho upravit odosielanie dat na server, lebo skuseny clovek to zvladne aj tak.
Chyba je ze ty nemas o bezpecnosti ani ponatie a tvoj sposob zabezpecenia spociva v skryvani namiesto osetrovania. To ze pokladas za problem ak ma input meno hovori za vsetko. Cim viac logiky das do javascriptu, tym horsie. Kazdy si to moze prestudovat.

ja viem nie som hlúpi ...
ja som to však využíval a zabudol som to tam ...

nenapisal som mu jedinu nadavku od zaciatku (uz nakych 40 stran dozadu ak nie viac) mu ludia z pcfora pisu veci, aby to mal lepsie, aby to mal bezpecnejsie atd. on vsak 99% STALE ignoruje a tvari sa, ze je boss tak sa nehnevaj ze mu napisem, ze na to proste takymto stylom VOBEC nema, nech sa aj posklada a nech mi admini zmazu prispevkov kolko chcu. potvrdi to tu kazdy, kto k programovaniu co i len trosku hocikedy pricuchol. keby sa aspon snazil pochopit co mu piseme, lenze on to cele berie ako utok proti svojej osobe a snazi sa obhajit, ze jeho sposob je ten najlepsi tak budiz

som zacal citat od 17strany ale uz pri par precitanych postoch som sa rehotal ze mam dost

ci pana Tominator uz si tu nejaky cas a kazdemu radis rozne bludy kazdy ta na ne upozorni a ty stale robys vacsie a vacsie hluposti

ja ked robym kod tak aspon si spiatocne prejdem co sa spravi pri blbych uzivateloch

len aby kazdy na mna nepovedal ze co ten magor co ani prdnut nievie bez navodu alebo nakreslit poriadny dizajn(bejvavalo ), tak sa priznam ze ked som precital jednu knižku a spravil par bludov tak som si myslel ze co postnem na pcf tak budem za supermana

//ps co tak zmenit zaradenie kodovania bo nejak ti skacu pismena

som dobrá duša, tak ti to vysvetlím polopatisticky:
je jedno, či si to využíval a zabudol input v html kóde - ak je možné, taký input vložiť, máš dve možnosti:
a) poriadne to ošetriť (čo si ty nemal),
alebo
b) taký input vôbec nepoužívať - bez ohľadu na to, či je niečo také v tom výslednom html kóde, alebo nie - proste ak niekto zašle falošný request, v ktorom bude input s názvom "pecene_kolaciky" a s hodnotou "true", tak ak niečo také nebudeš spracúvať, tak ti to môže byť jedno. Pochopil si?

Základ je ošetriť vstupy, je jedno akým spôsobom.

Ja viem, shaggy, ja viem ... ja keď sa to nezdá ja vás čítam ... a aj keď sa to nezdá aj ja mám chyby a viem že bezpečnosť zanedbávam a vieb ako si chrániť vstupy - výstupy ... ja aj keď sa to nezdá rozumiem každému jednému z vás a vače námietky sú opodstatnené ... ja viem ... dajme mi chvílu čas nech ďalšie 3 strany neriešime chybu ktorú som už včera opravil (áno stanley aj profil som už spravil) ... ja viem, pochopte ... prvá verzia chatu bol shit ... proste sa vám nečudujem čo je teraz ešte stále nič svetoborné a tá detská chyba mi nič dobrého nepriniesla ... ale viem kde som spravil chybu a tak pokračujem ďalej ...

Nepustas to dnes?

Testujte spustil som to ...

mne nejdu pravidla ani reklama a neviem presne preco to mas vsetko cez javascript, kedze ho ma pomerne dost ludi vypnuty.

no reklama a pravidla ešte nie su ale dik za postreh už som to vymazal ...

ake su prihlasovacie bludy?
naj sa zasmejem

inac tvoja rec na spustenie novej verzie nic nemeni nazor niektorych ludi tu, to si dufam uvedomujes.

Typujem ze treba hodnotit iba funkcnost

testujte aj bezpečnosť testujte všetko už mi to nevadí ...

taze ake?

nick: guest
pass: guest

je to písane o nejaké dve strany dopredu

Okienko s profilom - prečo mám horizontálny aj vertikálny posuvník? Keď už si taký javascripťák, tak dovoľ návštevníkom zväčšovať to okno.
Tie chybové hlášky - nemyslíš, že je trošku debilné im predávať text cez GET? Pchať všetko do príkazového riadku (ešte aj s diakritikou), tak sa to nerobí...
A posledná vec, čo ma zarazila - KDE JE TLAČÍTKO ODHLÁSIŤ?

tiez by mozno nebolo odveci zmenit format datumu pre uzivatelov z 2008-06-29 na 29.6.2008

Jeden taký nenápadný odkaz (mám také tušenie, že sa s tým dá aj viac pohrať).
Edit: Tento odkaz je asi lepší, lebo BFU nemá na výber.

to vyberanie miestnosti je uplne rozbite, niekedy mi da na vyber 11 miestnosti, inokedy ~24. tiez mi obcas ked chcem vstupit do nejakej inej miestnosti ako "☻☺☻☺☻☺☻☺☻☺☻☺☻ VSETCI SEM ! ☻☺☻☺☻☺☻☺☻☺☻☺☻" vypisuje ze nastal problem so serverom..

to mám riešiť? ako neviem aký je váš názor ale napíš si bludy pokochaj sa po chvíli ťa to aj tak prestane baviť ...