PFZ.nl - PHP Community: Wat vinden jullie van mijn site? - Discussie - Forum - PFZ.nl - PHP Community

Je kunt niet antwoorden op dit topic
#1 18-01-2012 15:46
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Wat vinden jullie van mijn site, vinden jullie het een mooie site?
http://www.kattentips.net/
Ook hoop ik dat mijn login veilig is?
Maanden werk aan geweest, pfffff
Als database gebruik ik SQLite, de meeste zijn wss meer voor MySql.
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#2 18-01-2012 15:51
Zou je je topictitel misschien kunnen aanpassen? Het zegt nu namelijk vrij weinig/niets over de inhoud van het topic.

Daarnaast misschien wat meer concretere vragen stellen? Waar moeten we op letten? Design? html code? spelfouten? php code? (al zal dat moeilijk worden)


Kortom: Je mag best wat meer moeite doen als je een topic opent. Je hebt net de huisregels gelezen en geaccepteerd, dus heb je ook gelezen dat we iets terugverwachten :)
Huisregels - Vragen stellen - Beginnen met PHP - Troubleshooter - Uitleg foutmeldingen
#3 18-01-2012 16:06
De "homepage" ziet er wat leeg uit. Alsof het nog niet af is.
#4 18-01-2012 16:43
Ik zie dat je je topictitel hebt aangepast. Jammer dat je verder niets met mijn opmerkingen doet. Of is de regel

Quote

Ook hoop ik dat mijn login veilig is?
erbij gekomen? Hoe moeten wij weten of de login veilig genoeg is als er hier geen code gepost wordt?

Wil je alleen je nieuwe website showen, of wil je ook nog iets bereiken met je topic?

Ik mis dus helaas nog altijd informatie wat we precies met je topic/vraag(?) moeten. Graag serieus uitbreiden!
Huisregels - Vragen stellen - Beginnen met PHP - Troubleshooter - Uitleg foutmeldingen
#5 18-01-2012 16:52
  • Ivo P.
  • Groep: Verenigingsleden
  • Posts: 2802
  • Actief sinds: 17-01-2002
XSS

hoewel niet elke browser even gevoelig kennelijk:

XSS

In FF zie je wat ik bedoel.

Mod-edit: geprepareerde link verandert naar een link naar ons xss artikel. Het beschrijven is voldoende, we hoeven hier geen kant-en-klare-scripts voor xss uit te voeren op onze website te hebben.
Ivo Peters
Developer en systeembeheerder @ PeHa ICT Services. blog.peha-ict.nl
#6 18-01-2012 17:09

Bekijk Post Op 18-01-2012 17:52 schreef Ivo P.:

XSS

hoewel niet elke browser even gevoelig kennelijk:

XSS

In FF zie je wat ik bedoel.
Chrome is tegenwoordig betand tegen dit soort aanvallen:
1
Refused to execute a Javascript script. Source code of script found within request.


@TS: Lees eens een artikel over XSS. (zie bijvoorbeeld de link in mijn handtekening)


Iemand hoeft je enkel een geprepareerde link te sturen, of je klikt er op in een topic als deze.

Mod-edit: geprepareerde link verandert naar een link naar ons xss artikel. Het beschrijven is voldoende, we hoeven hier geen kant-en-klare-scripts voor xss uit te voeren op onze website te hebben.
Wees ze voor en voorkom SQL Injection & Cross Site Scripting!
#7 18-01-2012 17:22
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Ik wil gewoon weten of mijn login veilig is, bevoorbeeld dat niet iemand kan inbreken in mijn site.
Daarvoor moet ik toch geen code posten, dacht ik zo??

Die link met javascript is niet dat, van XSS ken ik nog niks.
Hoe zou ik dat nu weer het beste oplossen?

Wat ik wil bereiken is een veilige mooie site :)
Daarom zijn goede tips van andere altijd welkom.
bedankt
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#8 18-01-2012 17:24

Quote

Ik wil gewoon weten of mijn login veilig is, bevoorbeeld dat niet iemand kan inbreken in mijn site.
Daarvoor moet ik toch geen code posten, dacht ik zo??
Jazeker moet je code posten, hoe moeten we anders weten wat jij precies doet tijdens het inloggen, en of dat wel veilig genoeg is?

Quote

Die link met javascript is niet dat, van XSS ken ik nog niks.
Hoe zou ik dat nu weer het beste oplossen?
In de gegeven voorbeelden heb ik de linkjes aangepast naar ons wiki-artikel over xss, daarmee zou ik eens beginnen met het lezen. Heb je dan concrete vragen, kun je ze hier stellen.
Huisregels - Vragen stellen - Beginnen met PHP - Troubleshooter - Uitleg foutmeldingen
#9 18-01-2012 20:16
Je maakt al de fout door te vertellen welke scripttaal en database je gebruikt. Zowel hier als op je site. Geef nooit meer informatie prijs dan nodig is.

Verder staat er een fout in je broncode:
<script src="javascript/jquery-1.7.1.min.js"></script>

Zoek even op internet wat de juiste schrijfwijze is.

Over een van je tips:
"Doet je kat iets fout.
Een flinke tik, of hard schreeuwen, maakt de problemen alleen maar erger!
Het enige dat je een kat op die manier leert, is dat hij bang voor jou moet zijn.
Schaf lichamelijke straffen af."

Maar hoe moet het dan wel? Een bezoeker van je site weet nu alleen hoe het niet moet, maar niet hoe hij/zij zich kan verbeteren.

Verder: kleine witte letters op een donkere achtergrond lezen niet makkelijk, legergroene letters op een donkere achtergrond vallen niet op en waarom staat de login-knop helemaal rechtsboven.
#10 19-01-2012 08:12
  • Ivo P.
  • Groep: Verenigingsleden
  • Posts: 2802
  • Actief sinds: 17-01-2002
als je bedoelt dat het stukje "type" ontbreekt: dat is niet meer verplicht in html 5.


---

@Karthuizer

Je gebruikt kennelijk ook geen mysql_real_escape_string:
Lees na: http://www.pfz.nl/wiki/sqlinjectie/

als ik in de url de de letter A vervang door ', gaat je hele pagina over z'n nek.

http://www.kattentip...ex.php?letter=a

Als ik er een % teken van maak, dan krijg ik alle categorieën te zien.

Als ik de a laat staan , maar er een stukje sql achter plak: or 'a'='a' (wat altijd zo is) dan krijg ik ze ook allemaal te zien.

Maar ik kan natuurlijk ook gemenere stukken sql toevoegen. Bijvoorbeeld om te zien welke tabellen er nog meer in de database staan.
En als ik dan weet dat er een tabel "users" is, kan ik de inhoud daarvan proberen te lezen.

Op die manier zijn al duizenden sites gehackt.


kortom:

om al dan niet bewust geknoei met de database te voorkomen, gebruik je mysql_real_escape_string() of de variant die daarvoor voor jouw database van toepassing is.

en om de XSS problemen te voorkomen: alle tekst die mogelijk van de user afkomstig is door htmlspecialchars() halen bij het weergeven, om te voorkomen dat er html code met javascripts uitgevoerd wordt.


uitleg bij xss:
stel je voor dat iemand een username invult waarbij een stukje <script> toegevoegd is.
De admin van de site krijgt in de backend van de site een overzicht van alle users op zijn scherm. Ongemerkt wordt er javascript geïmporteerd en uitgevoerd.
Cookie van de admin wordt verstuurd aan de hacker.

hacker gaat naar de site, met dit cookie, en is ingelogd als de admin van de site....
Ivo Peters
Developer en systeembeheerder @ PeHa ICT Services. blog.peha-ict.nl
#11 19-01-2012 08:51

Bekijk Post Op 19-01-2012 09:12 schreef Ivo P.:

als je bedoelt dat het stukje "type" ontbreekt: dat is niet meer verplicht in html 5.
klopt, maar dan moet het doctype geen XHTML 1.0 Transitional zijn
#12 19-01-2012 09:11
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Bedankt voor de hulp!

@Ivo P.
Ik gebruik idd geen mysql_real_escape_string maar ik werk met het PDO Prepared Statements, en dan is het toch niet nodig dacht ik zo? :s
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#13 19-01-2012 09:13
  • Ivo P.
  • Groep: Verenigingsleden
  • Posts: 2802
  • Actief sinds: 17-01-2002
kennelijk wel.

Zie maar hoe http://www.kattentip...ex.php?letter='

(incl die ' )

je server laat crashen.

http://www.kattentips.net/index.php?letter=a'%20or%20'aap'%20like%20'aap

ook veel meer toont dan de bedoeling is.
Ivo Peters
Developer en systeembeheerder @ PeHa ICT Services. blog.peha-ict.nl
#14 19-01-2012 09:21
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Ik snap het niet zo goed, 'Server niet gevonden' krijg ik dan te lezen.
het teken % gebruiken om al de categorieën te zien dat werkt wel.
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#15 19-01-2012 09:26
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Op het internet heb ik toch gelezen dat het geen goed idee is mysql_real_escape_string met PDO te gebruiken.
Nu weet ik het heel niet meer :s
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#16 19-01-2012 09:29
Post de link eens waar je dat hebt gelezen
#17 19-01-2012 09:34
  • Ivo P.
  • Groep: Verenigingsleden
  • Posts: 2802
  • Actief sinds: 17-01-2002
ik kan me dat wel voorstellen: je hebt dan kans dat vanalles dubbel geescapet wordt.

Maar ik ben beniewd naar de de code waar die letter uit de url naar je query gaat.

Uit de werking van % kan ik al afleiden, dat jij LIKE gebruikt in die query.

Hoe pas je dat toe? Hoe komt die $_GET['letter'] in jouw query terecht?


(mijn copypast is kennelijk net mislukt:

http://www.kattentip...dex.php?letter=%
http://www.kattentip...20like%20%27aap


%27 staat voor een '
%20 is een spatie
Ivo Peters
Developer en systeembeheerder @ PeHa ICT Services. blog.peha-ict.nl
#18 19-01-2012 09:45
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Hier staat iets over mysql_real_escape_string and PDO
http://stackoverflow...ocalhost-server

Maar er zullen nog wel dingen te vinden zijn wss.
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#19 19-01-2012 11:33
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Zo mijn siteje is wat aangepast:

1. De htmlspecialchars gebruik ik nu.
2. Dan nog is ne substr voor maar één letterke te hebben.
3. Dan nog ne preg_replace voor alleen maar de letters a tot z te hebben.
4. En dan de PDO Prepared Statements.


De type="text/javascript"staat nu ook in de link naar het javascript bestand.

Hopelijk is nu alles ok :s
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#20 20-01-2012 13:01
Karthuizer, ik heb je helaas nu al een aantal keer gevraagd om relevante code te plaatsen zodat we je beter kunnen helpen. Blijkbaar was dit voor jou niet duidelijk genoeg verwoord. Daarnaast is het je gelukkig wel gelukt om opmerkingen op te nemen en aan te passen.

Maar op pfz.nl staat duidelijk in de huisregels dat er relevante code gepost moet worden, en dat er een oplossing gegeven moet worden. In jouw geval de implementatie van de 4 punten die je zelf heb aangegeven. Dit doen wij namelijk met een bepaalde reden: We zijn geen helpdesk, we zijn hier om elkaar te helpen. Dat betekent, dat anderen met een soortgelijk probleem jouw oplossing dan kunnen vinden en kunnen gebruiken, zodat we niet 10x per dag/week dezelfde vragen hoeven te beantwoorden. We zijn er om elkaar te helpen.

Ik vraag je nu dus vriendelijk om toch een aantal regels code te laten zien waarin de bovenstaande punten naar voren komen.
Huisregels - Vragen stellen - Beginnen met PHP - Troubleshooter - Uitleg foutmeldingen
#21 21-01-2012 09:42
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
En dan hier de 4 punten in code:

1
2
3
4
5
6
@$letter = htmlspecialchars($_GET["letter"]);
$keuze = substr($letter, 0, 1);
$res = preg_replace("/[^a-zA-Z]/", "", $keuze);
if($res != ""){
    $sql = "SELECT * FROM kattenrassen WHERE naam LIKE '".$res."%' ORDER BY naam ASC";
}


Tips en commentaar is altijd welkom :)
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#22 21-01-2012 12:59
  • Taco V
  • Groep: Moderators
  • Posts: 798
  • Actief sinds: 12-08-2008
Kleine opmerking tussendoor:
"Gebruikersnaam of wachtwoord fout, probeer nog maar is!!!"
Die 'is' moet natuurlijk 'eens' zijn...
Gebruik de Wiki om problemen op te lossen en PHP te leren
#23 21-01-2012 15:27
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012

Bekijk Post Op 21-01-2012 13:59 schreef Taco V:

Kleine opmerking tussendoor:
"Gebruikersnaam of wachtwoord fout, probeer nog maar is!!!"
Die 'is' moet natuurlijk 'eens' zijn...
Ja, ik schrijf hoe ik praat, das niet goed wss, maar de 'is' is nu 'eens' :)
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#24 07-02-2012 09:10

Bekijk Post Op 21-01-2012 16:27 schreef Karthuizer:

Ja, ik schrijf hoe ik praat, das niet goed wss, maar de 'is' is nu 'eens' :)
Volgens mij ben ik dan de eerste, maar het moet gezegd: ik vind het een mooie site. Achtergrond is mooi, kleurencombinaties bevallen me erg goed, er lijkt goede informatie op te staan (wat ook zeker niet onbelangrijk is). Ik zou alleen twee dingen toevoegen: de mogelijkheid om alle rassen in één keer te kunnen zien, en te kunnen zien welke letter ik op dit moment aan het bekijken ben (u bent nu bij de letter 'o', bijvoorbeeld).

Voor wat betreft beveiliging van queries: ja, prepared statements zouden voldoende moeten zijn. Ik gebruik ze zelf ook uitsluitend, en dat bevalt er goed. Ik heb alleen het idee dat jij ze mogelijk op een wellicht onjuiste manier gebruikt, gezien de error die je kreeg bij $_GET['letter'] = '\''; Kun je anders ook een voorbeeldje laten zien van hoe je een query op bouwt? Misschien dat we daar ook wel verbeterpuntjes in kunnen zien.

Maar al met al, nogmaals; mooie site!
Beginnen met PHP | mijn blog | twitter.com/berry__

(argumentum verbosium)++
#25 07-02-2012 09:16
Trouwens, die achtergrond, is die vrij te gebruiken of hangt daar een licentie aan? En ik zou echt bijna zweren dat de foto's van de Europees korthaar foto's van mijn poezen zijn!
Beginnen met PHP | mijn blog | twitter.com/berry__

(argumentum verbosium)++
#26 07-02-2012 10:37
  • Taco V
  • Groep: Moderators
  • Posts: 798
  • Actief sinds: 12-08-2008

Bekijk Post Op 07-02-2012 10:10 schreef Berry Langerak:

Achtergrond is mooi
De achtergrond is bij mij egaal zwart... Bekijken we dezelfde site?
Gebruik de Wiki om problemen op te lossen en PHP te leren
#27 08-02-2012 11:25
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012

Bekijk Post Op 07-02-2012 10:10 schreef Berry Langerak:

Volgens mij ben ik dan de eerste, maar het moet gezegd: ik vind het een mooie site. Achtergrond is mooi, kleurencombinaties bevallen me erg goed, er lijkt goede informatie op te staan (wat ook zeker niet onbelangrijk is). Ik zou alleen twee dingen toevoegen: de mogelijkheid om alle rassen in één keer te kunnen zien, en te kunnen zien welke letter ik op dit moment aan het bekijken ben (u bent nu bij de letter 'o', bijvoorbeeld).

Voor wat betreft beveiliging van queries: ja, prepared statements zouden voldoende moeten zijn. Ik gebruik ze zelf ook uitsluitend, en dat bevalt er goed. Ik heb alleen het idee dat jij ze mogelijk op een wellicht onjuiste manier gebruikt, gezien de error die je kreeg bij $_GET['letter'] = '\''; Kun je anders ook een voorbeeldje laten zien van hoe je een query op bouwt? Misschien dat we daar ook wel verbeterpuntjes in kunnen zien.

Maar al met al, nogmaals; mooie site!
Fijn om te horen dat u mijn site graag ziet :)

Zo gebruik ik mijn queries
Hier twee voorbeelden(select en insert)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// een select query
$sql = "SELECT * FROM katten";
$stmt = $conn->prepare($sql);
$stmt->execute();
while($r = $stmt->fetch()){
    $r['name']));
}


// een insert query
$sql = "INSERT INTO rassen(naam, beschrijving, foto_thumb)
VALUES(:naam, :beschrijving, :foto_thumb)"; 
$stmt = $conn->prepare($sql);
$stmt->bindParam(":naam", $_POST["naam"], PDO::PARAM_STR);
$stmt->bindParam(":beschrijving", $_POST["beschrijving"], PDO::PARAM_STR);
$stmt->bindParam(":foto_thumb", $foto_thumb, PDO::PARAM_STR);
$stmt->execute();


Hopelijk is dit allemaal juist.


De twee mogelijkheden om 'al de rassen te zien' en 'u bent nu bij de letter o' ga ik zeker toevoegen aan mijn site.
Ik vind het een goed idee.

Het design van mijn site ben ik ook een klein beetje aan het veranderen.
Als het af is post ik het. :)

Bedankt voor de hulp.
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#28 08-02-2012 11:30
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012

Bekijk Post Op 07-02-2012 11:37 schreef Taco V:

De achtergrond is bij mij egaal zwart... Bekijken we dezelfde site?
Het patroon in mijn achtergrond zie je niet zo fel, maar het is er wel. :)
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#29 09-02-2012 11:45
  • Karthuizer
  • Groep: Forumleden
  • Posts: 35
  • Actief sinds: 18-01-2012
Hallo,

Mijn site (kattentips.net) is nu wat vernieuwd.
En een nieuwe domeinnaam, hier is het te doen:
http://www.101katten.be/

Dit design vind ik ietsje beter dan het vorige.
Wat ze mijn hier hebben aangeraden heb ik natuurlijk rekening mee gehouden ;)

Ook heeft deze site een link naar mijn gastenboekje, voel u vrij om mijn gastenboek te tekenen.

Wat vinden jullie van het nieuwe design?

En andere commentaar is natuurlijk ook welkom.
Mensen die katten haten zullen in een volgend leven terugkomen als muizen. :)
Mijn site over katten:
http://www.101katten.be/
#30 09-02-2012 16:19
Ik vind het een verbetering, maar het is nog steeds veel op te merken:
- zwarte achtergrond en felle kleuren zou ik niet doen vanwege het contrast en bevordering van het leesgemak
- de sociale media aan de linkerkant: ik mis een title als ik met m'n muis erover heen beweeg. Ik dacht dat de T voor Twitter zou staan, maar die blijkt naar tumbler te verwijzen. Wat het icoontje eronder doet... geen idee.
- als ik met m'n muis over "gastenboek" beweeg verandert de lettergrootte. Dat was in de jaren '90 al vervelend, nu nog steeds en het doet afbreuk aan je vormgeving.
- klik ik op "gastenboek" dan moet ik opnieuw op een link klikken en kom ik op een hele andere website (en dito vormgeving) uit.
- de foutmeldingen als je een berichtje wilt plaatsen zijn humoristisch bedoelt maar komen zo niet op mij over. Bovendien zitten er nog spelfouten in ook.
- dat ik een captcha moet invullen is al vervelend, maar waarom moeten het nog 2 woorden zijn. Eentje lijkt me meer dan genoeg.

Nieuwe Topics

Scripts

Wiki's

Vacatures

Nieuwsberichten

Software Updates

Inloggen wachtwoord vergeten? Aanmelden