Autorski presell

[PawelC]

napisałem sobie system do darmowych artykułów wiem że graficznie niejest super ale grafika niejest ważna, stworzyłem go specjalnie tak aby był szybko indeksowany, może co nieco o nim artykuły może dodawać każdy itp. Każdy artykuł ma unikalny meta tag title, pozatym dowiecie się wszystkiego na stronie, co według mnie najważniejsz nie trzeba się rejestrować:

Adres to https://www.artykuly.pro-strony.cuu.pl/

Wpisy są odrazu widoczne.

P.S. Linki dodaje się tak jak w html. Zastanawiam się czy wprowadzić taką możliwość że autor artykułu sam ustawia meta tagi? Co o tym sądzicie?

[ziom]

Na pewno dodam jutro wpis a jak zrobiłeś to ile razy jaki bot był na twojej stronce wyślij mi na kapsel20066@o2.pl kod albo na PW

[Druon]

Łoj, może by tak korekta ortograficzna ;-), ale skoro wspomniałeś o stronie graficznej, to czasem właśnie taka, jaką Ty masz teraz, jest o wiele czytelniejsza i przyjaźniejsza, i masz rację, że grafika nie jest najistotniejsza. Według mnie jest oki i wiem, że będziesz rozbudowywać, więc tylko pamiętaj, by nie przesadzić, a z Twojej wypowiedzi wnioskuję, że masz rozsądek :-)

[PawelC]

Na pewno dodam jutro wpis a jak zrobiłeś to ile razy jaki bot był na twojej stronce wyślij mi na kapsel20066@o2.pl kod albo na PW

Przy pomocy robots counter.

Łoj, może by tak korekta ortograficzna ;-), ale skoro wspomniałeś o stronie graficznej, to czasem właśnie taka, jaką Ty masz teraz, jest o wiele czytelniejsza i przyjaźniejsza, i masz rację, że grafika nie jest najistotniejsza. Według mnie jest oki i wiem, że będziesz rozbudowywać, więc tylko pamiętaj, by nie przesadzić, a z Twojej wypowiedzi wnioskuję, że masz rozsądek :-)

Tak korekte ortograficzną przeprowadzę bo sam widze błędy. Dla mnie nieliczyła się grafika tylko funkcjonalność.

Tak skrypt cały czas rozbudowuje u siebie na dysku później podmienie go oczywiście wszystkie wpisy zostaną w bazie i będą cały czas wyświetlane.

[Colin]

https://www.artykuly.pro-strony.cuu.pl/pokaz.php?id=3

XSS. Nie filtrujesz HTML-a.

[PawelC]

No to juz mam zajęcie

[Colin]

Poza tym brakuje funkcji nl2br() i wciśnięcie klawisza Enter nie przenosi tekstu do nowej linii.

[PawelC]

Dzięki, jeszcze jakieś rady przynajmniej będę wiedział co mam do zrobienia. Najpierw muszę obczaić z tym filtrowaniem.

[Colin]

https://www.artykuly.pro-strony.cuu.pl/pokaz.php?id=6

Nie rób echo $tytul;, tylko echo htmlspecialchars($tytul);.

(mój XSS się tym razem nie wykonał tylko dlatego, że ograniczasz długość tytułu)

[Colin]

I jeszcze masz sql injection (nie sprawdzasz czy id= jest liczbą).

[PawelC]

Powiedz mi jedno jak przed tym xss się zabezpieczyć?

[Colin]

KSES.

Wrzuć kses.php do katalogu ze skryptem, w skrypcie zrób na górze

include 'kses.php';

a jak wyświetlasz artykuł to nie rób

echo $artykul;

tylko

$allowed = array('b' => array(),
			 'i' => array(),
			 'a' => array('href' => 1, 'title' => 1),
			 'br' => array());

echo kses($artykul, $allowed);

Oczywiście do tablicy $allowed możesz dodać swoje atrybuty/elementy HTML, na które chcesz pozwolić. Nie dodawaj tam czasem <script>, atrybutu onload itp.

W miejscach, gdzie chcesz zupełnie zabronić HTML, np. tytuł artykułu, użyj funkcji htmlspecialchars().

$tytul = htmlspecialchars($tytul);

[PawelC]

Dobra większość z tego co napisałeś zrobiłem w nazwie artykułu niemożna używać tagów htmla bo zamiast np pogrubić to w tytule będzie ten atrybut wyswietlony tak <strong>tytul</strong>. Weź teraz przetestuj

[Colin]

Z XSS jest teraz wszystko OK.

Masz jedno SQL injection - nie sprawdzasz parametru ID, czy jest liczbą.

Zrób

$_GET['id'] = 0 + $_GET['id'];

gdzieś na początku skryptu.

I Enter cały czas nie powoduje wstawienia nowej linii, trzeba ręcznie robić <br> na końcu.

Na podstronach nigdzie nie linkujesz do strony głównej - musiałem użyć już kilka razy przycisku "Wstecz" przeglądarki.

[PawelC]

Z XSS jest teraz wszystko OK.

Masz jedno SQL injection - nie sprawdzasz parametru ID, czy jest liczbą.

Zrób

$_GET['id'] = 0 + $_GET['id'];

gdzieś na początku skryptu.

I Enter cały czas nie powoduje wstawienia nowej linii, trzeba ręcznie robić <br> na końcu.

Na podstronach nigdzie nie linkujesz do strony głównej - musiałem użyć już kilka razy przycisku "Wstecz" przeglądarki.

Link do głównej zrobiony, kod wrzuciłem.

nl2br(); dodałem