artis Posted February 18, 2005 Report Posted February 18, 2005 Sveiki, gribeeju pameegjinaat uztaisiit savu, primitiivu cms, bet neko daudz nejeedzu no datubaazeem... taapeec gribeeju, paluugt, lai juus "DB guru" uzmetat savu profesionaalo aci manam garadarbam - kaadas vareetu buut droshiibas probleemas ( taa kaa man tas viss pashlaik ir uz localhost, tad mySQL`am shobriid nav paroles, bet vispaar tai ir vieta tajaa conf.php failaa, bet logins uz index.php buus ar md5+cookies un katraa no sho failu saakumiem buus "include (login.php)", kas paarbaudiis, vai ir ielogots ). Kodu neliku uz paste.php, bet, kaa attachment ("cms.zip"), domaaju, taa varbuut jums buus vieglaak... fails db.txt satur infu par to, kaadu es uztaisiiju to MySQL datubaazi...
bubu Posted February 18, 2005 Report Posted February 18, 2005 Nezinu kā tev, bet man rāda, ka zip fails ir broken.
bubu Posted February 18, 2005 Report Posted February 18, 2005 No tā ko izdabūju no zipa faila: Mīnusu tur daudz: * drop.php failā nav definēts $id mainīgais kas notiks, ja $id vietā parametram nodošu vērtību: 0 or TRUE atbilde - izdzēsīsies visa tabula * edit.php failā - ja neizmanto regexpus, tad $sadaljas_texc = ereg_replace("\n","<br>",$sadaljas_texc); vietā var rakstīt $sadaljas_texc = str_replace("\n","<br>",$sadaljas_texc); būs daudz ātrāk. tas pats kas drop.php failā - kas notiks, ja $id vietā parametram nodošu vērtību: 0 or TRUE un kas būs, ja sadaļas nsaukumam iedošu tekstu ar pēdiņu tajā? vajag eskeipot datus (mysql_escape_string()) tāpat arī - ja ievietošu te kādu tegu: <h1>blah</h1>, tad pie apskatit_sadaljas.php failā tas arī izvadīsies kā html kods. diez vai tev tāds efekts vajadzīgs, labāk pielieto htmlspecialchars() fju. * grūti lasāms kods - šausmīgi daudz eskeipojumu \" tak vajag iemācīties lietot stringu konkatenāciju . vai dažādas pēdiņas ' un " * pieturies pie viena stila, raksti visu ar mazajiem vai visu ar lielajiem burtiem, tak nevajag rakstīt MYSQL_CONENCT un nākamajā rindiņa mysql_select_db, tāpat arī CSS kodā (BODY)
Grey_Wolf Posted February 18, 2005 Report Posted February 18, 2005 kaadas vareetu buut droshiibas probleemas ( taa kaa man tas viss pashlaik ir uz localhost, tad mySQL`am shobriid nav paroles, 13893[/snapback] Runaajot par droshiibu Noteikti!!! paskaties sho: http://php.lv/f/index.php?showtopic=1963
artis Posted February 18, 2005 Author Report Posted February 18, 2005 Paldies bubu, ka iečekoji .... vajadzeeja laikam uzreiz pateikt, ka tas vēl nav gatavais variants ... tur vēl pie visiem post variabļiem būs tie htmlspecialchars() un peedinjas tiks paarveidotas par " . Bet nesaprotu par to $id ... man tajos failos, kur tiek izmantots tas "id" sākumā vajadzētu pierakstīt $id="vienalgakas"; ? Un kaa ar to pashu datubaazes tabulu ? Vai tur viss ir optimaali ( visi tie "text" un "varchar" ) ? Aaa un veel - procentu "%" zīmi nav nepiecieshamības diseiblot ? Esmu lasījis, ka ar tās palīdzību datubāzēm var sataisīt kautkādas draņķības.
bubu Posted February 18, 2005 Report Posted February 18, 2005 post variabļiem būs tie htmlspecialchars() Nafig? to jau vajag uz izvilktajiem datiem no mysqla pirms echo'šanas uz browseri.
Klez Posted February 19, 2005 Report Posted February 19, 2005 par droshiibu te ir bik. tieshi sakaraa ar php
bubu Posted February 19, 2005 Report Posted February 19, 2005 artis: te ir labs security guide par php: http://phpsec.org/projects/guide/
Recommended Posts