Ocena strony "typu Kwejk"

Question

Witam, od jakiegoś czasu tworzę strony internetowe, których właściwie nikomu nie prezentuję... więc chyba nadszedł czas, gdyż ciekawi mnie opinia innych. Wydaje mi się, że osiągnąłem już jakiś podstawowy poziom i chciałbym poddać ocenie stronę nad którą ostatnio pracuję. Wzorowałem się na Kwejk.pl, lecz oczywiście moja strona nie dorównuje niczym Kwejkowi :)

Chciałbym abyście ocenie poddali takie rzeczy jak: design, poprawność od strony kodu html, css, funkcjonowanie strony, logikę strony, możliwości strony tego typu. Oczywiście wszystkie sugestie są mile widziane.

Całość napisałem w notepad++, czyli cały skrypt PHP, HTML, CSS, JS. Baza danych tworzona była przez phpMyAdmin. Nie wspierałem się żadnymi framework'ami.

Na stronie można sobie założyć konto zwykłego użytkownika w celu dodawania obrazków.

Jeśli ktoś chce zalogować się na konto administratora (istnieje tylko jedno takie konto):

login: janusz

hasło: admin

Adres strony: http://myimg.esy.es

Answer 1

Powiem Ci że nawet nieźle Ci to wyszło ;) Gratuluję :) Ale mógłbyś dodać jeszcze usuwanie obrazków, komentarzy, itd. :)

Answer 2

Podoba mi się : )
Ja jeszcze bym pozamieniał tagi z nazwami obrazków z <b> na <h1> i wrzucał bym słowa kluczowe w atrybut alt obrazków (no i pododawał meta tagi). Ale w sumie nie wiem czy jest sens to robić jak jest tu ktoś kto zna się lepiej na pozycjonowaniu to niech się wypowie : )

Comments

+ dodałem obrazek z nowego konta i się nie pojawił :c

---

Nowe obrazki domyślnie dodają się do bazy danych i dla każdego z nich jest ustawiana wartość 0 w kolumnie "main". Natomiast na stronie głównej wyświetlane są tylko obrazki, które mają main = 1. Tak to sobie wymyśliłem :)

Aby ustawić obrazek na stronie głównej trzeba się zalogować na administratora, następnie przejść pod adres tego obrazka (/post.php?p=x, gdzie x to id obrazka) i kliknąć odpowiedni przycisk. Tylko na razie tak to wygląda, gdyż nie stworzyłem sobie jeszcze panelu dla administratora, z którego to będzie można przeglądać i dodawać obrazki z parametrem main=0.

*Dodałem nowe obrazki na główną :)

E: Co do tagów, poprawię oczywiście co się da. Faktycznie tytuł obrazka można wrzucić do nagłówka, a nie tylko pogrubienia :P

Answer 3

Spodziewałem się jaskrawych kolorów, zegarków, kalendarzy a tu miłe zaskoczenie.  Strona przyjazna dla oka :)

ps. Po co jest ten footer z 20 polami?

Comments

Dzięki :)

Nie miałem co wrzucać do footera, a chciałem zrobić stopkę, dlatego wrzuciłem taki oto szablon wypełniony jakimiś napisani. Chciałem mieć po prostu jakiś zarys - jaka stopka pasuje do mojej strony.

Answer 4

Dla mnie jest okej, powiem tak: że obrazki komponują się przejżyście i czytelnie. Jako odbiorca z mojego punktu widzenia nie dostaje oczo-pląsu :D i jestem wstanie serfować i przeglądać.

Answer 5

Na pierwszy rzut oka, nie jest źle. Interesuje mnie tylko upload plików. W jaki sposób zabezpieczasz się przed wrzucaniem potencjalnie niebezpiecznych plików? Tylko rozszerzenia czy mime type? Masz blackliste czy whiteliste? A najfajniej by było zobaczyć kod, żeby móc to lepiej ocenić. PS. Wyłącz wyświetlanie błędów na prod. ;)

Comments

Sprawdzam rozszerzenia plików:

$dozwolone_rozszerzenia = array("jpeg", "jpg", "tiff", "tif", "png", "gif");
$plik_rozszerzenie = pathinfo("images/".date ("Y")."/".date ("m")."/".$_FILES['image']['name'], PATHINFO_EXTENSION);
		if (!in_array($plik_rozszerzenie, $dozwolone_rozszerzenia, true)) {
			echo "Dozwolone rozszerzenia to: ";
			foreach($dozwolone_rozszerzenia as $val) {
				echo "<b>".$val."</b> ";
			}
			exit();
		}

Szczerze mówiąc o mime type, blacklist i whitelist nie słyszałem

Z wyświetlaniem błędów chodzi o to? :

ini_set( 'display_errors', 'On' ); 
error_reporting( E_ALL );

---

Witaj.
Stronę zbudowałeś w oparciu o kurs... ? :)

jak filtrujesz parametry? :)

strona jest dziurawa.

MOCNO dziurawa. np hasła md5 (  tylko 13 userow? :> i hasła słabe )

+ Polecam PDO

+ Filter_input

+ password_hash i bcrypt.

---

W dużej mierze posiłkowałem się kursem, lecz przy poprzednim projekcie. Ale w sumie można tak powiedzieć.

Stosuję mysqli_real_escape_string, htmlentities, preg_match i md5 do haseł.

Userów jest mało, gdyż tworzyłem ich tylko w celach testowych. Nie rozumiem czemu miałoby ich być więcej. W każdym razie i tak nie wiem jak sprawdziłeś ich ilość :P

Poczytam o tym co poleciłeś, jakby nie patrzeć jestem początkujący.

Dzięki za podpowiedzi.

---

Po prostu, zrobiłem sobie dumpa

Filter input -> do get/post

PDO - do zapytan z baza , ale filtruj parametry

hasła hashuj bcryptem ( nie bedzie potrzeba jakis smiesznych kombinacji ... )

https://gist.github.com/efiku/aee53ab1482c37f913a2

Dziure masz w post.php, co z tego że ładnie strona wygląda, jak back-end leży :)

Answer 6

Strony typu kwejk to wylęgarnia wszelkiego debilizmu.

 

Nie zmienia to faktu, że strona wykonana nieźle. Przyjemna dla oka.

Answer 7

Moim zdaniem bardzo fajnie to wyglada ,plusik

A co wazne na komorce tez to dobrze dziala

Answer 8

http://myimg.esy.es/profile.php?user=1'

Błąd zapytania
Warning: mysqli_free_result() expects parameter 1 to be mysqli_result, boolean given in /home/u444895778/public_html/profile.php on line 50
Błąd zapytania

 AHA. Nie zatrudniłbym Cię.

Comments

http://myimg.esy.es/post.php?p=198'
Błąd zapytania
Warning: mysqli_free_result() expects parameter 1 to be mysqli_result, boolean given in /home/u444895778/public_html/post.php on line 73
Napisz komentarz

---

Przez takie strony PHP został uznany za namiastkę języka.
http://myimg.esy.es/images/2015/09/ Serio? Dostęp bezpośredni do struktury katalogów?

Ta strona jest dziurawa jak ser szwajcarski. Zalogowałem się na konto admina nie używając hasła, które podałeś.
Do logowania uzywasz co najmniej dwóch plików: logowanie.php i zaloguj.php z tym, ze chyba ten drugi ma niby weryfikować lub łączyć się z bazą i przekierowywać.

Nie sprawdzam XSS bo samo wystąpienie SQL Injection powoduje, że strona jest skompromitowana.

Wracaj do książek. Na tę chwilę dobrze że próbujesz, ale czeka Cię długa droga. W programowaniu nie jest najważniejsze że coś działa. To ma działac dobrze - i być bezpieczne. Sesję chyba hashujesz za pomocą md5, co nie jest ok.

Czytaj czytaj czytaj. Dużo przed Tobą. Za rok ze wstydu schowasz ten kod w miejscu ktore będziesz znał tylko Ty i będziesz go trzymać ku przestrodze, żeby tak nie pisać :)

---

Dzięki za sprawdzenie.

O wielu tych rzeczach nie mam pojęcia, są to moje pierwsze kroki w php.

Wydawało mi się, że logowanie jest zrobione dobrze, gdyż wzorowałem się na tutorialu Zelenta. Zdziwiło mnie wstrzyknięcie tutaj.

Chyba trochę źle zatytułowałem wątek, gdyż to co teraz stoi na hostingu nie ma być gotową stroną naśladującą kwejka. Po prostu chciałem poćwiczyć tworzenie strony i padło na stronę tego typu.

Jedyne miejsca gdzie używam md5 to przy zapisywaniu hasła do bazy i przy porównywaniu hasła w czasie logowania, także nie wiem o co chodzi z tą sesją.

---

Bo nie wstrzykiwałem tutaj. Po prostu wyłapałem hasło na jednej z dziurawych stron.

Polecam: "Mistrz PHP" wydawnictwa sitepoint.

I ogólnie całą literaturę odnośnie PHP.
PS. Ile czasu zajęło Ci tworzenie tej storny?

---

Tworzenie tej strony zajęło mi w sumie jakieś 25 godzin.

Ale nie sądzę żeby to było miarodajne.

---

ehh te kursy ;)

Answer 9

Strona wg mnie z potencjałem, osobiście zmieniłbym po naciśnięciu na obrazek, automatyczne wpisywanie komentarza

Comments

Jeśli mowa o autofocus na polu komentarza po przejściu do post.php, to już to zmieniłem.

Answer 10

Jak przechowujesz obrazki? Konwertujesz je do bazy danych, czy trzymasz w katalogu serwera?

Comments

Obrazki lądują w katalogach. Do bazy danych jest dodawany wpis z nazwą obrazka na serwerze i w ten sposób wyświetlam je na stronie.

Answer 11

co do wyglądu strony to dodałbym trochę gradientów... strona która ma tylko czyste kolory jest dosyć staroświecka... dziś modne są ŁAGODNE gradienty ... wiesz tam gdzie masz kolor np. zielony to spróbuj zmienić na gradient z troszeczkę ciemniejszego do jaśniejszego zielonego ale dalej w tym samym odcieniu i tylko TROSZECZKĘ ... przynajmniej mnie się tak wydaje:)

Comments

Jakoś ostatnio nie jestem przekonany co do gradientów, ale często je stosowałem. W pewnym momencie jednak uderzyłem bardziej w "modern style", czyli coś co często nazywane jest "metro".

Na przykład to forum nie ma gradientów i wygląda bardzo ładnie :)

Także na ten moment gradientom mówię nie. Co do paska menu, to mam pewien pomysł, który niebawem zastosuję. Anyway dzięki za opinię.

Answer 12

Hey,

z jakich kursów korzystałeś tworząc tę stronę?

Comments

Filmiki Zelenta zmotywowały mnie do zajęcia się PHP. Reszta to jakoś randomowo zdobyta wiedza w internecie. Jeśli czegoś potrzebowałem, po prostu szukałem.

Answer 13

123

Comments

Jakie powiązanie ma ta odpowiedź z pytaniem?