фигня. Одна большая дырка.

Да еще и защиты от F5 нет

Что это?

Скажите, есть ли ещё баги, если нет то я начинаю делать форум в котором будут создаватся разные темы.

Guest
То был спам, нет защиты от спамеров.

Делай, никто не мешает Знания приходят с практикой.

Уже лучше, есть обработка htmlspecialchars() но вот защиты от F5 нету.
После того как отправишь запрос на добавление сообщения сделай редирект.

header('Location: ' . $_SERVER['PHP_SELF']);

после оставления сообщения вылазит страница ОК. если нажать f5 - сообщение дублируется.

Winston, а для чего? что если так:

header('Location:ru.php?title=forum.tpl']);

http://stalker.far.ru/ru.php?title=ru.php

А вообще, я имею доступ ко всему твоему сайту, любой файл, который мне надо, могу достать через эту уязвимость. Это фейл.

http://stalker.far.ru/mods/index.tpl

Никакого программирования, обычный вывод сверстанных страниц:
http://stalker.far.ru/help/artefacts.tpl

Вообщем, всё плохо. ПХП нет, кроме скрытой формы, которую надо переверстывать.
Страницы представляют собой просто ссылку на обычную статисную .html страницу, даже ссылку на которую тоже криво реализовано.
Дизайна, увы, не увидел.
Ты просил оценить? Моя оценка: 2 бала.

imbalance_hero, разве без этого фейла нельзя достать любой файл? Прошу объяснить, чем я рискую.

Моя оценка: 2 бала. 

Это мой самый первый опыт. За комментарии спасибо. Что можете псоветовать для улучшения?

Guest
В идеале ни один человек не должен получать ни одной ошибки с вашего сайта.
В данном виде сайт не очень уязвим, но ты позволяешь через адресную строку открыть любой, интересующий злоумышленника файл, абсолютно любой, а это уже прямая дыра. Если сайт таким и останется навеки, других сайтов не будет, то другой опасности нет, но если ты хотя бы решишь добавить что-то на сайт, эта уязвимость тебе тут же аукнется.

Ну раз первый сайт твой и вправду, то норм, у меня был не лучше
Посмотри на нашем форуме раздел "безопасность", там прикреплённые темы есть, вообще, все прикреплённые темы - очень полезны на форуме в каждом разделе.

Теперь я добавил возможность комментировать каждую страницу, почему-то теперь сообщения отображаются и без надобности удаления временной папки. Ближайшие планы:
- добавить возможность создания новых тем.
- чтобы при вводе моего имени и пароля можно бвло использовать html-таги.
- создать коды форума.
Вродебы неплохо получается.

Прибей подвал к низу.

А вообщем, о чём сайт?
Пока что вижу только бесплатную рекламму для игры.

Не знаю что там было сделанно сразу, глянь в опере, подвал поджат.
По дизайну плохо.
В шапке картинка игры вставленна как банер блоком,не к селу не к городу.
Трудно оценивать, слепленно кое как.
Для того чтоб было более менее понятно в дизайне сайтов при отсутствии контента,делают рыбу, то есть просто по сути эмитируют контент любым попавшимся текстом, фото.
И ещё.
Делая сайт на тематику визуального жанра, акцент делается на фото,картинках,скринах.
Примеров в инети - привлекательно сделаных сайтов такого жанра --- море.

sebastjan, вы говорите о дизайне, а я спрашивал о программной части. Прошу проверить, что нет багов вот в чём:

• Там же есть скрипт, прибевающий каждой странице подвал, шапку.
• И была гостевая книга, теперь вместо этого комментирование под каждой страницей.

При попытке комментировать, получаю ошибку.

видимо после коммента шаблон не подцепился, видимо там снова конструктор страницы с косяком, а удобней с редиректом.

Даже не знаю как-быть

Что значит как быть?
Там написано permisson danied - недостаточно прав на запись в файл.
Попробуй права на файл выставить.

Winston, спасибо. Поставил 666, теперь вроде пишет. Ещё есть недочёты?

Если зайти на эту страницу и по-обновляться (нажимать F5) то записываются пустые значения в файл.

Теперь есть вот что:
- при вводе правильного пароля пишется после имени слово "админ" и доступны html-таги.
- при неправильном пароле или при его отсутствии таги не доступны и нет слова "админ".
- при невведённом тексте сообщение не записывается.

Попробуйте тперь от имени админа писать.

Вопрос не в том, я сделал прикольно, теперь только админ может... ты такое хоть где-то видел? Чтобы была форма, рядом с ней имя и пароль, НО(!!!!) они не нужны вообще, по крайней мере пароль, потому что обычному пользователю он нафиг не нужен.

Это нарушение правил интерфейса адекватного! Абсолютно нарушен, админ должен отдельно авторизироваться, а не светиться на главной, что можно сделать от него!

К тому же это только временный вариант. Я буду переделывать. В дальнейшем всё будет сильно изменено.

Можно было бы еще капчу поставить или еще какую защиту, а то я вам нафлудил там немного

Winston, не знаю, вы ли это были, но такие сообщения не спамом завутся, а вандализмом. Признайтесь честно, кто это написал?

Я же сказал что есть очень распространённые фразочки, которые повторяются неизменными, например та что про админа википедии. И такие фразы отфильтровать очень просто, несмотря на то что они опасней мата.

---

Спустя 15 минут, 7 секунд Гость_Володя написал(а):

---

Winston, тот скрипт удаляет маты, а вот гинекологическую терминологию не удаляет, но она тоже не нужна. Ибо, матерным словам не верят, а вот если чтото такое скажут научным стилем, то могут и поверить.

Вы видимо не понимаете о чём идёт речь. Я говорю не о ругани, а именно о вандализации страниц, это разные вещи. Можете посмотреть ссылку на поиск в яндексе подобных фраз:

О цензорстве можно говорить много, но здесь форум программистов. Как улучшу код, сообщу.

Видел, на сайтах типа школьного формата, разработчики соответствующие Все ж со школы этим заниматься начинают, вот новички такие ошибки и допускают. Надо на сессии делать адекватную авторизацию из-вне, например со страницы site.ru/admin , потом писать сообщения со всеми правами.

Лучшая защита от вандализма, это хороший и БОЛЬНОЙ админ

Имейте ввиду, что часть кода опубикована на теме создаю гостевую книгу.

Guest
}i{ - а это у нас бабочка?

imbalance_hero, если вы имеете ввиду что автоцензор не воспримет }i{ как Ж, то ошибаетесь. Я же не привёл на форуме полный список, лучше делать отдельным файлом, а здесь сделать ссылку.

И ещё: на гугле я включить уже предусмотренный там фильтр от порнографии и всё равно смог найти её по запросу "клубничка 18+", программа должна отличать когда речь идёт о ягодах, а когда о чём либо другом.

Guest
Поверь мне, твоя затея бесполезна, ты не добьешься в этом результата.

imbalance_hero, вы предлагаете мне перестать делать? И не предпринимать какихлибо попыток? Я не слабак, я сделаю это.

Именно это и предлагаю, тебе надо знать все сословия общества, все варианты написания слов, иначе за день люди поймут, какие слова блокируются, а какие - нет. И будут использовать именно их. Только активный модератор может заниматься поддержанием мира и порядка на любом сайте.

imbalance_hero, я думаю что достаточно блокировать:

• падонковский язык
• олбанскей езыг
• луркояз
• кащенит
• мат
• тюремный жаргон
• акушерскую терминологию

словари на такую тематику есть в интернете.

На баше, помню, как раз называли несколько слов, в части слова которых присутствует матерное слово, но если говорить о слове в целом, то оно обычное.

imbalance_hero, слово "употреблять"?

Guest
Это одно из того списка. Там слово какое-то морское, типо лодочки или караблика.

imbalance_hero, вращаю барабан или назовёте слово?

Guest
Плати, будет тебе информация.

Guest
Плачь(!), вот видишь, а ты даже грамматики русского не знаешь, как же ты собираешься мега-алгоритмы писать... Вообщем, ты превратился уже в мелкого троля

На моё заявление, что данный фильтр писать нецелесообразно, и есть некоторые слова, ряд которых я сейчас и не вспомню, твоё заявление: "вращаю барабан или назовёте слово?", так кто из нас начинает офф-топить?

imbalance_hero, вы сказали:

Может хватит ?...

Guest
Значит шутку я не оценил. Вообщем, ты не с нами болтай, а пиши алгоритм, чтобы мог похвастаться