הוסטס - פורום אחסון האתרים הגדול בישראל - [ קוד פתוח ] מערכת מדולים שבניתי

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - [ קוד פתוח ] מערכת מדולים שבניתי (https://hosts.co.il/forums/showthread.php?t=47349)

Startzero.net

11-06-07 20:18

[ קוד פתוח ] מערכת מדולים שבניתי

בניתי מערכת מודולים,
לאתרי תדמית בד"כ צריך את זה.
http://www.startzero.net/modules/?act=links

דרך הניהול אתם יכולים לערוך\למחוק\להוסיף מודול.

המערכת הינה בקוד פתוח:

admin.php
http://www.postyourcode.info/?site=vcode&id=974425853

index.php
http://www.postyourcode.info/?site=vcode&id=1484190672

קחו את הקוד לצורך למידה,
תגובות בבקשה(=

עריכה
בשביל שזה יפעל, צריך טבלה בSQL קוד ליצור אותה:

קוד:

CREATE TABLE `cms_modules` (

  `id` int(11) NOT NULL auto_increment,

  `name` text NOT NULL,

  `link` text NOT NULL,

  `page` text NOT NULL,

  PRIMARY KEY  (`id`)

) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

Eran-s

11-06-07 21:02

כל הכבוד על היוזמה.
רק אל תיתן דוגמא לאנשים להכניס HTML בתוך קבצי PHP, תשתמש ב-Smarty או מערכת קלה יותר.

אגב, רושמים Built.

Elad-A

11-06-07 21:17

כל הכבוד :)

Tomer

11-06-07 21:23

אני חושב שהיית צריך לאבטח את זה לפני שפרסמת את זה,
גם אם זה בחינם.

Startzero.net

11-06-07 21:56

ציטוט:

נכתב במקור על ידי Tomer (פרסם 497745)

אני חושב שהיית צריך לאבטח את זה לפני שפרסמת את זה,
גם אם זה בחינם.

מה כאן לא מאובטח?

Daniel

11-06-07 21:59

מה שאני ראיתי ברפרפוף שלא מאובטח,
זה הדף אדמין, איפה שם משתמש וסיסמה? חוץ מזה שיש מלא הודעות alert מעצבנות,
ואין סינון על תווי HTML,
htmlspecialchars($string);

Meir	11-06-07 21:59

ציטוט:

נכתב במקור על ידי startzero.net (פרסם 497771)

מה כאן לא מאובטח?

הכל...

Eran-s

11-06-07 22:00

ציטוט:

נכתב במקור על ידי startzero.net (פרסם 497771)

מה כאן לא מאובטח?

לא בדקתי לעומק אבל $act לא מאובטח?

Startzero.net

11-06-07 22:02

יאובטח,
זה לא משנה כ"כ אם מאובטח או לא, זה קוד פתוח שכולם ישתמשו בו מצידי.
ואפחד לא ינסה להפיל קוד פתוח, זה בשבילכם לא בשבילי.

4ior	11-06-07 22:36

תגידו, בשביל מה הוא צריך לאבטח? מה זה השטויות האלה.
למה לנו לפרוץ את זה?
הוא עשה את זה בשבילנו, קוד פתוח.

אחלה יוזמה, אני חושב שצריך להתחיל אשכול של קוד פתוח של כל הפורום.

עריכה-
איך זה בדיוק קשור למודולים..?

Startzero.net

11-06-07 22:57

ציטוט:

נכתב במקור על ידי 4ior (פרסם 497808)

מה איך זה קשור?
אתה פותח לך איזה דפים שאתה רוצה..

The Crow

11-06-07 23:00

מה הקשר מודולים?
מערכת מבוססת מודולים זו בדרך כלל מערכת ניהול תוכן שאפשר להוסיף לה כל מיני סוגים של מודולים כגון פורומים, תגובות, משתמשים, כתבות וכו'...
כמו במערכות HebNuker ו Joomla. במערכות האלו, יש שימוש במודולים.

במערכת שלך אין שום מודולים ואין שום קשר למודולים.

Startzero.net

11-06-07 23:02

ציטוט:

נכתב במקור על ידי The Crow (פרסם 497821)

האמת? אין לי מושג מה זה מודולים
זה כזה מערכת של פתיחת דפים ועריכתם בקלות
לאתרי תדמית.. ספרים וכו'

The Crow

11-06-07 23:11

ציטוט:

נכתב במקור על ידי startzero.net (פרסם 497822)

האמת? אין לי מושג מה זה מודולים
זה כזה מערכת של פתיחת דפים ועריכתם בקלות
לאתרי תדמית.. ספרים וכו'

מערכת לפתיחת דפים זו מערכת ניהול תוכן פשוטה.

בכל מקרה, כל הכבוד שאתה נותן את זה בקוד פתוח,
בהצלחה :)

sUP	11-06-07 23:23

חח מה אתה מסטול שחר O_O
איזה מודולים

אבל נחמד על היוזמה של הקוד הפתוח!

חכה תיראה תמערכת שאני מפתח עכשיו אתה קופץ מהקומה השלישית XD

ודבר איתי בנוגע לקזינו נירא לי נלך על זה בסוף

Tomer

11-06-07 23:33

ציטוט:

נכתב במקור על ידי 4ior (פרסם 497808)

כשמישהו יבוא אליך לאתר שהפעיל את זה ויזריק לך משהו לשאילתת SQL בגלל שזה לא מאובטח - אתה גם תגיד את זה? תעשה לי טובה.

O-B	11-06-07 23:44

אחלה יוזמה כל הכבוד..
יש לך הרבה מה לייעל בקוד.. ולסדר אותו..

סתם איזה משהו ששמתי לב מתוך רפרוף..
במקום

PHP קוד:


		
			
 <? echo $name; ?>

אתה יכול לכתוב:

PHP קוד:


		
			
<?=$name?>

X-T	12-06-07 06:30

כמה הערות אם אפשר...
תשתדל לאבטח את המערכת כמיטב יכולתך, תשתדל שהקוד יהיה מסודר ונקי, זה דיי יכול לעזור בקריאת הקוד ועריכתו במידת הצורך.

4ior	12-06-07 09:16

ציטוט:

נכתב במקור על ידי Tomer (פרסם 497829)

בהתחלה אני התכוונתי לקוד פתוח. זה בכלל לא קוד פתוח זה סתם שני דפים שמאפשרים להוסיף עמודים.
קוד פתוח=אפשרות לשנות את הקוד עצמו

ואם זה לא מאובטח, זה בסדר, כי אנחנו יכולים לאבטח ולעשות את זה יותר טוב.
אבל בכל מקרה, זה לא זה וזה לא מערכת מודולים.

Startzero.net

12-06-07 10:35

קראתי תתגובות של כולם..
אממ אוקי אז זאת מערכת ניהול דפים + פתיחת דפים.
TOMER: איבטחתי את המערכת פשוט לא עידכנתי את זה בקוד.
עכשיו זה פועל עם htmlspeicalchars

אמרתי לכם כבר,
תעשו עם הקוד מה שאתם רוצים..הוא שלכם

O-B: תודה רבה לך. לקחתי לתשומת ליבי.
דניאל: דבר איתי^^

עריכה:
הדבקתי את הקודים מחדש, עם האבטחה ועוד כמה דברים שהיו נחוצים,

admin.php
http://postyourcode.info/index.php?s...e&id=723147519

index.php
http://postyourcode.info/index.php?s...&id=1103835454

עידכון: בקרוב תראו את המערכת הזאת באתר שלי www.Startzero.net :>

Tomer

12-06-07 11:15

$act עדיין מועבר לשאילתא ישירות ולא עובר שום סינון. זו פרצת אבטחה רצינית.

אבל סבבה, שים את המערכת הזו באתר שלך... ותשתדל לחסום את DROP TABLE מההרשאות משתמש בשרת.

Startzero.net

12-06-07 11:16

ציטוט:

נכתב במקור על ידי Tomer (פרסם 497956)

לא הבנתי אותך..
תוכל להראות לי מה זה $act?
וד"א כשאני שם באתר שלי זה מוגן במערכת הניהול שלי, עם סיסמא ומשתמש:>

Tomer

12-06-07 11:17

$act = $_GET['act'] מועבר ישירות לשאילתא שם. אם מישהו יזין שם משהו קצת שונה מהרגיל והוא פוגע לך בנתונים ובטבלאות.

Startzero.net

12-06-07 11:19

ציטוט:

נכתב במקור על ידי Tomer (פרסם 497958)

$act = $_GET['act'] מועבר ישירות לשאילתא שם. אם מישהו יזין שם משהו קצת שונה מהרגיל והוא פוגע לך בנתונים ובטבלאות.

PHP קוד:


		
			
        $act = htmlspecialchars($act);

בסדר?

Gal Shafrir

12-06-07 11:19

PHP קוד:


		
			
<?php
    $act = htmlspecialchars($_GET['act']);
    $act = mysql_real_escape_string($act);
?>

למשל כמו שאני עשיתי..

עריכה, לא ראיתי שכתבת.

mayden

12-06-07 11:21

יוזמה מצויינת, קבל ח"ח.

|לב|

Startzero.net

12-06-07 11:23

DJ G.S: זה בסדר גם מה שאני עשיתי...
אלכס תודה אחי |לב|

Tomer

12-06-07 11:35

אני רואה שאתה לא משנה, לא חשוב.

אישית אני לא ממליץ להוריד. בהצלחה.

Startzero.net

12-06-07 12:09

ציטוט:

נכתב במקור על ידי Tomer (פרסם 497969)

אני רואה שאתה לא משנה, לא חשוב.

אישית אני לא ממליץ להוריד. בהצלחה.

חבל ככה להגיד.. במקום לתקן את זה בעצמך
או שפשוט להגיד לי איפה לתקן :S

Tomer

12-06-07 12:18

ציטוט:

נכתב במקור על ידי startzero.net (פרסם 497990)

חבל ככה להגיד.. במקום לתקן את זה בעצמך
או שפשוט להגיד לי איפה לתקן :S

נמ,

$act = $_GET['act'];

$act = mysql_escape_string($_GET['act'];

$edit = $_GET['edit'];

$edit = mysql_escape_string($_GET['edit']);

ובכל מקום אחר שיש בו את הצורה הזו..

Mg-maor

12-06-07 12:30

תודה רבה אחי!

The Crow

12-06-07 13:46

כל הרעיון בקוד פתוח שבמידה ויש באגים/חורי אבטחה.
מתכנתים יכולים להצטרף ולתרום מהידע שלהם כדי לשפר את הפרוייקט...

Startzero.net

12-06-07 13:55

ציטוט:

נכתב במקור על ידי The Crow (פרסם 498053)

זה בדיוק הקטע
כנראה שאפחד פה לא הפנים..

4ior	12-06-07 15:06

מה אף אחד לא הפנים.. כולם הבינו.
אבל מה אתה רוצה שנתקן\נוסיף ואז נביא לך?
ואז אתה תשנה?

אם אתה באמת רוצה לעשות משהו טוב, תפתח תיקייה, ותתן לכולם גישת ftp.
כמו שזה עכשיו זה סתם.

Eran-s

12-06-07 15:10

ציטוט:

נכתב במקור על ידי 4ior (פרסם 498109)

או לחילופין שיעשה משהו קצת יותר מתקדם,
אם יהיה יותר טוב גם אני אתנדב לשפר.

Startzero.net

12-06-07 15:12

אולי אפשר לעשות משהו מגניב של קודים פתוחים
כזה שיהיה מלא תיקיות וכל תיקיה יהיה רשום מה היא עושה
ואז פשוט יכנסו וילמדו
אם יהיה עוד מתנדבים אני נותן את השרת שלי=)

SafeSide

13-06-07 16:51

אחלה אחי

כל הזמנים הם GMT +2. הזמן כעת הוא 12:39.