מערכת ניהול תוכן לאתר

[meshuga]

ציטוט:

נכתב במקור על ידי hi_sorie

HTML = JS נכון ? אם אתה מאפשר HTML אתה מאפשר JS ...

עד פה ?

יפה ...

עכשיו עורך רגיל של האתר יכול לעשות דף רגיל וב JS לשים קוד של פתיחת חלון חדש , שמעביר בשיטת GET את פרטי ה COOKIES מהדומיין הזה של כל מי שלוחץ על העמוד ...

ככה כל עורך פשוט יכול להעביר את פרטי ה COOKIES של כל אורחי האתר ובניהם את פרטי האדמין .

אבל למה שבעל אתר יעשה את זה?......או שותף של בעל אתר....
ועדיין,אם אתה רוצה להתווכח על אבטחה,ואם אתה כזה קטנוני אפשר לעשות שאיש עם גישה באיזור X לא יהיה יכול לכתוב עם HTML...או יותר טוב...להוציא סקריפטים עם עם PREG או פונקציה שנראה לי יש כבר..

[hi_sorie]

ציטוט:

נכתב במקור על ידי meshuga

אבל למה שבעל אתר יעשה את זה?......או שותף של בעל אתר....
ועדיין,אם אתה רוצה להתווכח על אבטחה,ואם אתה כזה קטנוני אפשר לעשות שאיש עם גישה באיזור X לא יהיה יכול לכתוב עם HTML...או יותר טוב...להוציא סקריפטים עם עם PREG או פונקציה שנראה לי יש כבר..

זה בדיוק מה שאמרתי , אבל אנשים אמרו שצריך לתת לכולם HTML כי מי ירצה לפגוע לעצמו באתר ?

אז כן , עורכים למשל ....

הכי טוב , את האותיות של ה <script> לחסום ...
הכי בטוח הכי יעיל...

[meshuga]

ציטוט:

נכתב במקור על ידי hi_sorie

זה בדיוק מה שאמרתי , אבל אנשים אמרו שצריך לתת לכולם HTML כי מי ירצה לפגוע לעצמו באתר ?

אז כן , עורכים למשל ....

הכי טוב , את האותיות של ה <script> לחסום ...
הכי בטוח הכי יעיל...

אבל זה לא מדוייק...אתה יכול לעשות אזורים עם HTML ואזורים שבלי במקום לחסום להכל,כתבות ודברים כאלה זה בד"כ מבנה בסיסי אז לא צריך HTML....מצד שני...דפים "סטטים" כן צריכים את הכל וזה אפשר לעשות גישה רק לבעל האתר...

[Ikki]

בסה"כ מערכת בסדר.

יש לי כמה הערות:
1. לא נוחה לשימוש בכלל.
2. הקטע של ה ID מראה אי מקצועיות גמורה. ID מוזן ע"פ ה SQL, אזי לא צריך שום דבר שקשור ל ID בטופס/קבלת הטופס, למלא אותו?, זה סתם מכער, אם אין לך מה להוסיף תעצב את הטופס בצורה יפה לעין, ותוסיף כותרת.
2. גם בעריכה, יש שיוני ID וזה לא עובד?, מה? מה אתה רוצה? שקל?.
3. טקסט נוסף?, טוב כנראה שטעיתי, רוצה חצי שקל?!(מה הקטע??).
4. שינוי תפריט, לא מתאים. זה החלק שהעיצוב אחראי עליו.

בקיצור מה עשית פה?, יצרת קוד אחד וכל פעם שיכפלת אותו.