Nie jesteś zalogowany na forum.
Strony: Poprzednia 1 2 3
Ukaszf9, dojrzałem:
"/><META HTTP-EQUIV="refresh" CONTENT="0; URL=http://www.forum.pun.pl/profile.php?id=58771">
"/><script>location.href="https://www.youtube.com/watch?v=zK-EVhaeB48";</script>
i jeszcze jedno w podobnym stylu.
Oprócz tego:
<style>body {display:none;}</style>
i kilka innych ciekawych nazw użytkowników.
Co uświadomiło mi, że każde pole wprowadzane przez użytkownika musi mieć zaimplementowany system kontroli wpisywanych treści (zamieniać znaczniki składniowe HTML na ciągi znakowe < lub > )
Przysiądę do tego w weekend, jeśli to jeszcze nie wszystko to napisz co przegapiłem.
I dzięki za pomoc.
Yaren co do zegara to jest to jakiś stary odkop dla dekoracji
A co do addEventListener() to jeszcze tego nie znałem. Btw. to nie jest pisane z bieżącymi standardami, bo musiałbym przerabiać cały kod zgodnie z PDO itd.
Ale dzięki za uwagi
Offline
Co uświadomiło mi, że każde pole wprowadzane przez użytkownika musi mieć zaimplementowany system kontroli wpisywanych treści
Dokładnie - powinieneś filtrować wszystkie dane wprowadzane przez użytkownika, bez wyjątków. A jak jest taka potrzeba, to dla wygody użytkowników rób to zarówno po stronie klienta, jak i serwera (przykład - jQuery Validation Plugin).
A tak swoją drogą, to jeżeli poważnie myślisz o programowaniu, to zainteresuj się OOP, a potem jakimś dobrym frameworkiem, chociażby Symfony - nauczysz się dobrych praktyk kodowania i wzorców od podszewki. Skoro napisałeś już własnego CMS, to nie ma sensu nadal klepać kodu strukturalnie (nie mówię, że to zła praktyka, ale OOP jest po prostu lepsze pod wieloma względami) i korzystania z przestarzałych funkcji (bo wywnioskowałem, że na bazie danych operujesz nadal z pomocą mysql_, które jest oznaczone jako przestarzałe, a w php7 w ogóle wyszło z użytku).
Offline
jeśli to jeszcze nie wszystko to napisz co przegapiłem.
Generalnie po za tym co napisałeś to brak odporności na flood ---> założyłem z automatu ponad 1000 kont i strona się wysypała (oO ---> niewykluczone, że to hosting ale przymula nieźle).
Offline
Dodaj walidację adresu e-mail, chociażby tak - klik!, bo w tej chwili wchodzi jakikolwiek string : P Odnośnie tego, co napisał wyżej @ukaszf9, to przydałby się jakiś mechanizm captcha i/lub ograniczenie ilości rejestracji z danego IP/czasowe ograniczenie, przypuśćmy jedno konto na pięć minut.
Offline
Strony: Poprzednia 1 2 3