Keskustelu: Yleinen keskustelu: Mainos: Fin Web Design: Jaa sivupohjasi!

Sivustolla voit nopeasti uploadata sivupohjasi sivulle ja siinä se on. Sen jälkeen kaikki kävijät voivat ladata sivupohjan.
Käyttäjät voivat kommentoida/lisätä sivupohjia. Myöhemmin tulossa myös muokkaus ja poisto ominaisuudet sivupohjille
Linkki:http://fames.jouluserver.com/

Voisit ensimmäiseksi korjata sivusi siihen uskoon että niille voisi edes harkita pistävänsä sivupohjia.
Esimerkiksi nuo <br> tagit voisit heivata menemään.

Lisäksi olisi ihan mukava, jos tuolla olisi niitä sivupohjia ladattavaksi. Sivupohjissa voisi olla myös käyttöohje, jotta niiden käyttöönotto olisi helpompaa. Pohjien jaottelussa voisi olla kunkin alueen kokonaismäärä tulostettuna nimen yhteyteen.

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

alker kirjoitti:

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

Ei, XHTML:ssä <br> on virhe, koska kaikki tagit kuuluu sulkea.

Mutta hyvin se kuitenkin toimii

Siis oliko tuolla sivulla muka jossain xhtml:ää?

Grez kirjoitti:

Siis oliko tuolla sivulla muka jossain xhtml:ää?

Ei ainakaan doctypen mukaan. ;)

alker kirjoitti:

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

Tarkoitinkin noita peräkkäin olevia <br> tageja, joilla määrität sivun korkeuden.

Ainakaan sivuston tietoturvataso ei ole kovin hyvä.

alker: siis mitä hittoa?

Aika pahasti sanottu julkisesti, ottaen huomioon että tietosi on melko varmasti tallentuneet ylläpidolle...

Siis ymmärrän kyllä, että saattaa harmittaa tällainen vandalismi, mutta silti olet myös netissä vastuussa sanomisistasi...

Lebe80 kirjoitti:

alker: siis mitä hittoa?

Aika pahasti sanottu julkisesti, ottaen huomioon että tietosi on melko varmasti tallentuneet ylläpidolle...

Siis ymmärrän kyllä, että saattaa harmittaa tällainen vandalismi, mutta silti olet myös netissä vastuussa sanomisistasi...

Omapahan on helvettinsä. Ja en sanonut tuota sillä että joku tappaisi vaan vittutaa vaan tollaseet homo n00bit
Ja ne eivät osaa itse tälläistä tehdä niin pitää tuhota toisten.

Suosittelen vahvasti tukkimaan nuo reiät, ennen kuin joku tekee oikeasti pahaa tuolle sun tietokannalle. Pahat krakkerit tuskin kertoisivat sun sivuston reikäisyydestä, vaan käyttäisivät sitä surutta hyväkseen. Täällä uhoaminen ja laittoman uhkauksen esittäminen ei ole leikin asia, vaan se voidaan tulkita sinun kannalta todella ikävästi.

Tosin luultavasti et ole rikosoikeudellisessa vastuussa tekemisistäsi, mutta ei ehkä silti kannata uhota ja toisia laittomasti uhkailla julkisella forumilla. Omalla sivullasi voit minusta uhota niin paljon, kuin jaksat.

Ja muillekin vinkiksi, että viesti varmaan meni jo perille :)

Tiedän miten ne ovat saaneet ne sivulle. Murtanut uploadin ja se on siinä!

alker kirjoitti:

Ja ne eivät osaa itse tälläistä tehdä niin pitää tuhota toisten.

Tietyn rajan jälkeen tuollaisen tekeminen on paljon helpompaa kuin tuhoaminen. Vai olisitko itse osannut kaataa systeemisi, ja jos olisit, mikset sitten korjannut tietoturvaongelmia?

Taitaa olla jo liian myöhäistä, mutta pikaisella vilkaisulla voin osoittaa tästä keskustelusta järjestelmäsi suurimman haavoittuvuuden: Kuvan tiedostopäätteen tarkistus ei toimi, koska tarkistat heti sen perään paketin tiedostopäätteen etkä siis siinä välissä tarkista, mikä oli ensimmäisen tarkistuksen tulos. Niinpä järjestelmään voi lähettää myös php-skriptejä, ja niitä näyttääkin upload-hakemisto olevan melkoisen pullollaan.

<?php
    // Tässä tarkistetaan kuvan pääte aivan oikein...
    $sallitaanko = false;
    foreach ($conf['filetypes'] as $sallittu) {
        if ($kuva_paate == strtolower($sallittu)) $sallitaanko = true;
    }

    // Mutta mitä ihmettä? Tässä heitetään edellisen tarkistuksen tulos menemään!
    $sallitaanko = false;
    foreach ($conf['linkki_filetypes'] as $sallittu) {
        if ($linkki_paate == strtolower($sallittu)) $sallitaanko = true;
    }
    // Tässä toimitaan aivan oikein, mutta nyt tulos kertoo vain toisesta tiedostosta.
    if ($sallitaanko == false) /*...*/ ;

Teuro kirjoitti:

Suosittelen vahvasti tukkimaan nuo reiät, ennen kuin joku tekee oikeasti pahaa tuolle sun tietokannalle.

Irkissä tietävät kertoa, ettei kyseistä tietokantaa enää ole. Ei kuitenkaan ole tietoa, kuka muutteli sivuston tekstejä ja tuhosi tietokannan.

Kurjaa, että kaikki pitää ensin sotkea ja lopuksi vielä tuhota täysin. Jos tietoturva-aukkojen löytäminen ja kokeileminen ei riitä vaan pitää välttämättä vielä pilaillakin, eikö pilailua voi jättää edes sivistyneeksi, harmittomaksi ja tyylikkääksi?

Jatkossa suositan, ettet postaa yksi yhteen ohjelmakoodiasia julkiselle palvelimelle, ellet ole aivan varma sen turvallisuudesta. Nimittäin väitän aika suoraan, että tuo fun.php sisältää liian arkaluonteista dataa ja sen urkkiminen on suorastaan liian helppoa. En nyt kuitenkaan taida kertoa miten sen saa selville.

EDIT: jaa se onkin jo poistunut.

Tajusin. Alan heti korjaamaan tuota.

Olen todella pahoillani tapahtuneesta.

Ilmeisesti Ohjelmointiputkassa ei kannata kertoa nettisivuistaan.

"Pilan" tekijöille: Toivottavasti ymmärrätte hävetä.

Miksi sivuille murtautuminen hyväksytään, mutta pelotellaan laittomista uhkauksista yms.?

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään, mutta pelotellaan laittomista uhkauksista yms.?

Öh, no jos joku omalla nimellään tai nimimerkillä jakaa julkisia tappouhkauksia niin siitä voi tulla hankaluuksia. Mielestäni ihan järkevä neuvo kehotaa välttämään moisia. En ainakaan itse huomannut että asiasta mainitsija olisi millään tavalla "hyväksynyt" murtautumisen. Tuskin täällä kukaan kommentoijista edes tietää kuka siellä on vandalisoinut.

Jos tulkitsit kommentit siitä, että kannattaisi suojata sivut "murtaumisen hyväksynnäksi", niin olet kyllä mielestäni väärässä. Se että neuvoo lukitsemaan oven kotoa lähtiessään ei ole mitään murtautumisen hyväksymistä, vaan tosiasioiden tunnustamista.

Olen pahoillani jos minulta meni jotain pahasti ohi (threadia on ilmeisesti muokattu) ja avaudun turhasta.

Harmillista että Alkerin sivuille murtauduttiin, mutta en usko sen olevan tähän ketjuun kirjoittaneiden putkalaisten syytä.

Nyt meni liian pitkälle. Joku homo oli vaihtanu logo.png:een ja minulla ei ole alkuperäistä koneella.

Oijoi (varmuuskopiot kannattaa aina)

Se alkuperäinen logo oli kuitenkin vielä selaimeni välimuistissa ja pistin sen tuonne ladattavaksi:
http://grez.info/putka/Alker/logo.png

Kiitos pelastit päiväni :)
Tietoturva aukko peitetty. Enään database uudestaan ja sitten kaikki on ennallaan :) Ja databaseen löytyy aina varmuuskopio :P

Antti Laaksonen kirjoitti:

Ilmeisesti Ohjelmointiputkassa ei kannata kertoa nettisivuistaan.

Ilmaisin itseni todella huonosti tarkoitukseni ei ollut kieltää internet-sivujen koodin julkaisemista ohjelmointiputkan foorumilla. Tarkoitukseni oli vihjaista, että turhan arkaluonteisen koodin julkaisu ei välttämättä ole fiksuin mahdollinen veto. Muistetaan kuitenkin, että tätäkin foorumia selaa myös sellaisia henkilöitä, jotka saattavat haluta aiheuttaa juurikin mainitunlaista tuhoa ihan huvikseenkin.

Tällainen foorumi on nimittäin aika potentiaalinen paikka kaivella sivustojen koodia pahoihin tarkoituksiin. Luultavasti alker oppi läksynsä, mutta toivotaan ettei kyseinen enää toistu ainakaan putkalaisten toimesta.

Myöskään Ohjelmointiputkassa ei kannata kertoa Ohjelmointiputkasta, onhan sivustolta löydetty Ohjelmointiputkalaisten voimin useita haavoittuvaisuuksia, joista ei osaa ole edes korjattu ;)

Sivut ovat taas pystyssä. Uusi ja parempi uploadaus!
http://fames.jouluserver.com/

Päätoimisena Internet-trollinakaan en voi ymmärtää noin epäammattimaista ja tökeröä kiusantekoa. Vaan ei ole vielä valmis tämä maailma, jos tietoturva-asioita katsotaan aiheelliseksi opettaa lupaa kysymättä noin kouriintuntuvasti.

Surullista, että niinkin säällisiltä vaikuttavat opiskelijapojat eivät voi itse muistaa joskus opetelleensa uutta ja halunneensa jakaa oppimaansa juuri putkassa koodivinkkien muodossa. Koittakaahan hyvät ihmiset muistaa vanhan mantereen eurooppalaiset hienostuneet tavat, joihin kuuluu ennemminkin yksityisviestillä tietoturva-aukoista huomauttaminen tai karkeimmillaan niiden osoittaminen foorumilla. Uskon alkerin oppineen tästä jotakin uutta ohjelmoinnista, mutta valitettavasti myös ihmisen alkukantaisuudesta ja julmuudesta. Toivon, että haluat itse olla lajistamme vastakkaisena esimerkkinä, etkä kyynisty vaan jätät tapahtuneen omaan arvoonsa. Kyseessähän lienee kuitenkin vain joukossa joukossa tiivistynyt tai opittu eikä synnynnäinen tyhmyys.

Puhveli kirjoitti:

eurooppalaiset hienostuneet tavat, joihin kuuluu ennemminkin yksityisviestillä tietoturva-aukoista huomauttaminen

Mites tämä muuten tapahtuu käytännössä?

Grez kirjoitti:

Mites tämä muuten tapahtuu käytännössä?

Esimerkiks korvaa sivuston index.php:n sellasella, jossa kerrotaan yksityiskohtasesti tästä tietoturva-aukosta. Siinä ois hyvä mainita ainakin millon tää aukko löyty, mitä tehtiin sen löytyessä ja kuinka sitä voi käyttää. Joku korjausehdotuski on kohteliasta laittaa mukaan. Seuraavan kerran ku ylläpitäjä sitte tarkastaa sivujaan, se huomaa uudistuneen etusivun ja ryhtyy tarvittaviin toimiin.

Jaa, mä luulin että täällä foorumilla oli yksityisviestisysteemi, jota en vaan osannut käyttää.

Jeps, tapaus herätti mietteitä.

a) jos joku hakkeroi sivusi, älä ala uhoamaan ja haastamaan riitaa. Uhoaminen voi provosoida vaan enemmän ilkivaltaan.

Nyt kävi onnellisesti, kun apua löytyi heti. Linkkisihän on voinut levitä ohjelmointiputkan ulkopuolelle ohjelmointiputkan käyttäjien toimesta, esim. ircin välityksellä, joten ilkivallan tekijät saattavat olla jossain, mistä he eivät edes lue uhkailujasi.

b) Ota säännöllisesti varmuuskopiot. Ota ne aina sivustopäivitysten yhteydessä. Älä säilytä ainoita tiedostoja palvelimella, vaan pyöritä "työsivustoa" myös omalla koneellasi.

c) Ota virheistä opiksi. Nyt joku suomiteini haxx0roi sivusi pilan merkiksi, seuraavalla kerralla se voi olla Irakin poijjaat julistamassa jihadia, ja sitä seuraavalla kerralla Googlebotti vanhentuneen linkin voimin. Sitä vaan välillä tapahtuu kaikenlaista.

Tarvitsemme nopeasti lisää käyttäjiä/sivupohjia sivustolle!

Lisään vielä sinne pari asiaa. esim. html komennot eivät toimi ja php komennot eivät kans toimi. Ip bänääminen toimii. Sivut vaihtaa palvelinta siihen menee pari tuntia-4 päivää

Sivuston tilan ja upload-hakemiston sisällön perusteella uskallan väittää, että korjatessasi kuvan tiedostopäätteen tarkistusta rikoit sen sijaan toisen tarkistuksen.

Asia korjattu :P

No nyt ei ainakaan tunnu toimivan...

Onko joku taas tyhjentänut tuon, vai miks ei näy mitää kokoservulla?

Joskus ennen yhdeksää monet sivut näyttivät ohjautuvan uudestaan erääseen kuuluisaan shokkikuvaan (http://fi.wikipedia.org/wiki/Goatse). Veikkaisin, että alker poisti sen jälkeen itse sivunsa, kunnes saa ongelman korjattua, tai näin ainakin olisi järkevintä tehdä.

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks. Mielummin otan vastaan tietoa oman sivun aukoistani jotta voin korjata kuin se että joku isopahakräkkeri tuhoaa sivut täysin.

Tietysti aukkoja saa etsiä ja korjailla. Itsekin olen löytänyt muutaman bugin Linux-ohjelmista ja WWW-sivuilta. Mielelläni myös korjaisin open source -ohjelmia, mutta debuggerin käyttötaidot ei vielä riitä.

tesmu kirjoitti:

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks.

Se on sitä niin sanottua rakentavaa palautetta.

Gwaur kirjoitti:

Se on sitä niin sanottua rakentavaa palautetta.

Tämä taas oli niin sanottua hajottavaa palautetta.

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään --?

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

Metabolix kirjoitti:

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään --?

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

Ihan ymmärrettävä näkökanta, mutta ilman ylläpitäjien suostumusta tietojärjestelmiin murtautumisen tapauksessa ainakin Suomen laki taitaa olla eri linjoilla.

Metabolix kirjoitti:

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

Sellainen ero tässä on, että oikeita, merkityksellisiä salattuja viestejä noissa yliopistollisissa tutkimuksissa tuskin murretaan, vaan käytössä on jokin nimenomaan tutkimusta varten tehty ja salattu viesti. Samaa analogiaa soveltaen, homma olisi enemmänkin ok, jos murrettavana olisi nimenomaan testailua varten tehty kopio saitista. Silloin ei olisi tuotakaan lakiongelmaa (joka on käytännössä tässä tapauksessa oikeastaan teoreettinen).

Käytännössä sivujen tietoturvaongelmien selvittäminen ulkopuolisten avulla olisi näillä periaatteella kuitenkin käytännössä mahdotonta, jäisi tekemättä, ja opetteluvaiheessa oleva saattaisi jäädä tärkeästä infosta paitsi, ellei tajua asiaa itse kysellä.

Olikos tässä viestissä nyt jotain erityistä järkeä? En tiedä, mutta toivottavasti joku siitä jotain asiaa löytää.

tesmu kirjoitti:

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks.

Jos nyt ajatellaan sivuja, joiden lähdekoodi ei ole avoimesti saatavilla (jolloin aukkoja voisi tosiaan etsiä lähdekoodista) niin miten aukkoja voi etsiä niin, että ei varmasti saa mitään tuhoa aikaiseksi?

Sivut saavat uuden ulkoasun ja paremman tietoturvan :P Myös palvelin vaihdetaan

Niin no, huonompaa tietoturvaa olisikin ollut hankalampi tehdä...

*drum fill*

Mitään tietoa, että milloin sivut tulevat takaisin?

kyllä riittää guruilla aikaa kiistellä täällä kun voisi samantien pierasta herralle toimivan sivuston sen sijaan että ilkutaan missä on nyt tälläkin kertaa vikaa ja nauretaan kuitenkin salaa lasin toisella puolella...

ettekö te yhtään häpeä?

"The only thing that seems to work for security is public shaming."
- Linus Torvalds

SE ON TÄÄLLÄ TAAS
PÄIVITYS 16.09.2009 :.:
UUSI SIVUPOHJA
UUSI PAREMPI TIETOTURVA
DY.FI DOMAIN
http://finwebdesign.dy.fi/

ei lähettänyt emailiin aktivointitunnusta... -.-

hmm... kyllä sen pitäis

Juu ei tule, mulla on gmailissa sähköposti. Ja toi sivupohja mikä on etusivulla ei näy. Selaimena safari 4 ja käyttiksenä win 7 rc.

Ongelma on palvelimessa :@
Ongelma korjattu!

ok... :S

Kaikki toimii nyt

"Ladattu: kertaa"
Taitaa olla pieni bugi? Ilmenee kun valitsee sivupohjan ja heti kuvan yläpuolella lukee moinen.

Sendasin tonne testipohjan, voisitko poistaa sen? Kun ei itse näköjään onnistu... :D

EDIT1: miks jos yritän ladata sivupohjaa niin lataa leiska.zip tiedoston?

EDIT2: jos kommenttiin laittaa " merkin niin se tulee /" merkkinä näkyviin? :D:D

vehkis91 kirjoitti:

EDIT2: jos kommenttiin laittaa " merkin niin se tulee /" merkkinä näkyviin? :D:D

Stripslashes() jääny poies. Ny sitä sinne äkkeesti?

Vähä palautetta. Älä ota pahalla mutta imo jos nettisivujen ulkoasujen jakelusivusto näyttää tuommoiselta niin kuinka moni sinne haluaa pistää omansa? Ei ainakaan paljoa paremman näköistä layouttia sinne jaksa kukaan väsätä kuin tuon sivun ulkoasu. Ja käytettävyyskin on vähän niin ja näin. Rekisteröitymisessä tekstikenttien leveyttä vois venyttää. Toisaalta ainakaan vielä ei oo sivu kaatunu scriptkidien säätöihin, niitä vanhoja sivuja en edes ehtiny näkemään. Mutta jooh, kyllähän minäkin joskus jo useampi vuosi sitten väsäsin kyllä ihan hirveitä sivuja ja sitten niitä mainostelin kaikille hienoina >.< Harjoitus tekee mestaajan.

Jos kiinnostaa niin tästä saat logon jonka väsäsin huvin vuoksi äsken tätä sivua varten: http://bluefoxgames.org/fwdlogo.png

Sivustollesi pystyy tekemään GET-parametrien kautta lähes mielivaltaisia SELECT-kyselyitä. Esimerkiksi salasanasi suolaamaton (!) SHA-1-tiiviste on 421d...9b54 (suurin osa piilotettu). Joitakin vuosia sitten keksittiin toimivan salasanan löytämiseen yllättävän tehokas algoritmi, joten salasanasi on vakavassa vaarassa. ;)

Lataussivu ei toimi vieläkään vaan ohjaa aina samaan tiedostoon.

No en ole kuullutkaan GET parametristä. Voisit vähän neuvoa miten tuon pystyisi tukkimaan :D Kipailu käynnissä. Tehkää mahdollisimman hieno sivupohja FWD:eelle ja saat testaaja arvon.(Pääset testaamaan kaikkea ennenkun se julkaistaan) ja lisäämme sivupohjan sivuston sivupohjaksi!

GET parametrin tiedät takuulla, koska noiden "sivupohjien" linkit on tehty juurikin tuolla tekniikalla. Seuraavaksi voisit alkaa tutkimaan tuota tuottamaasi koodia, koska siitä on näkemättä helppo osoittaa virhe tiedostossa www/vndv.com/f/i/n/finsearch/htdocs/file.php. Tuossa tiedostossa rivillä 25 tehdään kysely, jonka epäonnistuminen aiheuttaa virheilmoituksen.

Virheilmoitus on sikäli kehitysvaiheessa hyvä olla olemassa, mutta julkaisuversioon sitä ei kannata päästää. Tuolla rivillä nimittäin käytät yrität sokeasti käyttää rikkinäistät tulosjoukkoa mysql_fetch_assoc() funktiolla.

Lisäksi joillakin sivuilla on linkkien paikalla tulostettu jajavascript höttöä, joka viittaa omaan mokaasi koodissa. Eli tiivistettynä poista kaikki koodi, jonka jälkeen laita tietokoneesi postissa itsellesi, jonka ainaka voit alkaa suunnitella kunnollista järjestelmää. Lopuksi vain tuotat suunnitelmiesi mukaisen ohjelma, jonka testaat! itse ensin kunnolla. Tarkoitan siis, että ajat vaarallisia kyselyita, sekä vastaavaa.

Ohjelmiston testaus ei siis ole toiminnan varmistamista, vaan pikemminkin reikien ja virheiden etsintää.

alker: voisitko tutustua valmiisiin cms -järjestelmiin, joissa nuo lapsukset on korjattu jo ennen kuin niitä on edes laitettu jakoon. Eli kannattaa testata Wordpressit, Joomlat, ModX:t ja Drupalit, ennen kuin alkaa itse väsäämään nollakokemuksella "omaa sivujärjestelmää".

alker: kas näin. Onneksesi tuolla ei saa tehtyä kuin SELECT-kyselyitä. Vähemmän onnekkaasti noihin kyselyihin voi kirjoittaa myös HTML:ää, jolloin joku voisi antaa sinulle linkin, joka varastaa evästeesi (istunnon tunnisteen), jolla pääseekin sitten sivustolle sinun tunnuksellasi ja voi käydä vaihtamassa salasanasi.

Miten ihmeessä tuo Get-parametrin käyttö onnistuu noin?
En mielelläni tekisi vastaavaa virhettä.

Siis ongelmahan on se, että Alker puuppaa tuon annetun arvon sellaisenaan kyselyyn, jolloin siinä on mahdollisuus SQL-injektioon. Toisaalta asiaa voidaan miettiä siltä kannalta, että Alker luottaa käyttäjältä päin tulevaan tietoon. Niin ei koskaan saa tehdä. (Jos nyt pilkkua viilataan niin on erityistilanteita, joissa saa, mutta parempi kun lähtökohtaisesti ei luota)

SQL-injektion voi torjua tarkistamalla tai käsittelemällä syötteet tai käyttämällä parametrisoituja kyselyitä.

Käsiteleminen on tarkistamista parempi sikäli, että siinä ei tarvitse yrittää varautua kaikkiin mahdollisiin vaihtoehtoihin. Esimerkiksi kun tuossa haetaan kokonaislukua, niin sen voisi muuntaa ensin kokonaisluvuksi ja sitten laittaa sen lukumuuttujan kyselyyn. PHP:ssä tosin ei ole mahdollista määritellä muuttujaa tietyksi tietotyypiksi, joten tuonkin pystyy periaatetessa kämmimään. Tekstin tapauksessa taas löytyy yleensä valmiit funktiot, jolla sen voi "eskapoida", esim. mysql_real_escape_string.

Parametrisoiduissa kyselyissä työkalu yleensä huolehtii käsittelyt automaattisesti.

Ei toimi tuo. mysql_real_escape_stringiä käytän kaikissa sql tiedostoissa.
OMG Miten noin voi tapahtua jos $id = mysql_real_escape_string($_GET['id']);?

...tekstin tapauksessa...

Muista että jos annat tietokannalle tekstiä, niin se alkaa ja loppuu heittomerkillä ( ' )

EDIT, poistin...

$apu = mysql_real_escape_string($_GET['id']);
$id = intval($apu);

//sit sql ym tänne...

Toimisikohan toi?

vehkis91: Turha sitä on escapettaa, jos se kuitenkin muutetaan intiksi; lopputulos on sama. Intin kanssa asia on myös heti kunnossa, koska int on vain numeroita.

Kuten joku teräväsilmäinen saattaa huomata, esittämässäni kyselyssä on tekstien sijaan käytetty CHAR-funktiota, koska lainausmerkit eivät escapen jäljiltä toimi. Escape-funktion ideana on, että kun $muuttuja sijoitetaan tekstiksi (WHERE id = '$muuttuja'), kaikki '-merkit tekstin sisältä on muutettu \':ksi, jottei teksti katkea.

alker kirjoitti:

... saat testaaja arvon ...

Siis ihan ilmaiseksi saa tehdä sinun hyväksesi töitä? Usko pois, kukaan pätevä testaaja ei ole hiukkaakaan kiinnostunut tarjouksestasi. :D

Metabolix kirjoitti:

vehkis91: Turha sitä on escapettaa, jos se kuitenkin muutetaan intiksi; lopputulos on sama. Intin kanssa asia on myös heti kunnossa, koska int on vain numeroita.

Kuten joku teräväsilmäinen saattaa huomata, esittämässäni kyselyssä on tekstien sijaan käytetty CHAR-funktiota, koska lainausmerkit eivät escapen jäljiltä toimi. Escape-funktion ideana on, että kun $muuttuja sijoitetaan tekstiksi (WHERE id = '$muuttuja'), kaikki '-merkit tekstin sisältä on muutettu \':ksi, jottei teksti katkea.

alker kirjoitti:

... saat testaaja arvon ...

Siis ihan ilmaiseksi saa tehdä sinun hyväksesi töitä? Usko pois, kukaan pätevä testaaja ei ole hiukkaakaan kiinnostunut tarjouksestasi. :D

En ny tiiä että tietääkö ketään muu kun minä missä on päivitys! Lueppas se uudestaan. Nab.

Teuro kirjoitti:

Ohjelmiston testaus ei siis ole toiminnan varmistamista, vaan pikemminkin reikien ja virheiden etsintää.

Siis tietoturvatestaushan on yhden osa-alueen testausta, toimintatestaus toisen.

alker: Mistä päivityksestä nyt puhutaan?

Vieläkin on sivustolla aukkoja. Satuin huomaamaan, että vehkis on yrittänyt tutkiskella omin avuin kommenttilootan käyttömahdollisuuksia, mutta varsinainen ongelma on käyttäjän "nakki" profiili.

Lähdekoodit paljastivat OVELASTI ujutetun koodin:
Ammatti: <script>var i=0;while (i<1){document.write(document.cookie);}</script>

alker kirjoitti:

En ny tiiä että tietääkö ketään muu kun minä missä on päivitys!

Olenko muka millään tavalla puhunut tekemistäsi päivityksistä? En.

Mutta eiköhän se päivitys ole suunnilleen tuollainen vehkis91:n ehdottama, eli tarkistat jotenkin, että id on numeerinen. Mystisesti 4,5 antaa saman tuloksen kuin 4 mutta 4.5 ja 40e-1 eivät, eli jonkinlaisesta purukumista on varmaankin kyse, kun omalla palvelimella ainakin 40e-1 toimi MySQL-kyselyssäkin ja palautti rivin id:llä 4.

Tietoturvan lyhyt oppimäärä:
- Laita register_globals ja magic_quotes pois päältä.
- Aja kaikki tarkastamaton data htmlspecialchars-funktion läpi ennen tulostamista.
- Käytä SQL-kyselyissä 'hipsuja' muuttuvien arvojen ympärillä ja käsittele kaikki arvot mysql_real_escape_string-funktiolla ennen kyselyyn liittämistä.

Tehty on noi kaikki. Eli ihmettelen miten vittusa teette noi?

No laita vaikka sivut alas ja laita se koodi näkyviin, joka tällä hetkellä hakee tuon tietyn sivupohjan tietokannasta. Kerromme sitten mikä siinä on vikana eli miten se pitäisi tehdä oikein.

Sinänsä ongelma on jossain määrin "copy&paste koodauksessa", eli ymmärrys siitä mitä tekee on puutteellinen ja valmiita esimerkkejä yhdistelemällä ilman syvempää ymmärrystä saa aikaan tietoturva-aukkoja.

Tein tuon ihan ite. En ole mikään Copy&paste koodari.
Koodi

<?php
include("session.php");
?>
<html>
<head>
<title>Fin Web Design</title>
<link rel="stylesheet" type="text/css" href="tyyli.css">
</head>
<body>
<div id="logo"><br><img src="logo.png"></div>
<div id="navi">
<?php
include("navi.php");
?>
</div>
<br>
<div id="sisalto">
	<?php
include("fun.php");
define("TULOKSIA",5);
$yhteys = yhdista();
$id = mysql_real_escape_string($_GET['id']);
$sql = "select * from lataamo where id = '$id'";
$tulos = mysql_query($sql);
$rivi = mysql_fetch_assoc($tulos);
if (!$tulos) {
echo "Tiedostoa ei löydy";
}
else {
$id = mysql_real_escape_string($rivi['kate']);
echo "<h1>",$rivi['nimi'],"</h1><br>";
echo "Ladattu:",$rivi['lataa']," kertaa<br>";
echo "koko:",$rivi['koko'],"<br>";
echo "<img width=600 height=400 src=\"",$rivi['kuva'],"\"><br><br>";
echo $rivi['kuvaus'],"<br><br>";
echo "<a href=\"".$rivi['linkki']."\"><img src=\"kuvat/download.png\"></a><br>";
echo "<br>Lähettäjä: <a href=\"tunnus.php?tunnus=",$rivi['tunnus'],"\">",$rivi['tunnus'],"</a>";
echo "<h1>Kommentit</h1>";?>
<iframe src="kommentit.php?id=<?php echo $id ?>" width=600 height=400 border="0">
</iframe>
<?php
}
?>
</div>
</body>
</html>

Eipä ole kaikkia tehty.

Metabolix kirjoitti:

- Aja kaikki tarkastamaton data htmlspecialchars-funktion läpi ennen tulostamista.

Edit: Captchaakin voisi ehkä hieman parannella.

Teet edelleen saman virheen, josta mainitsin edellä näkemättä koodia. Eli yrität käyttää mahdollisesti rikkinäistä tulosta. Määrittelet vakion TULOKSIA, mutta sitä ei käytetä mihinkään. $_GET['id'] saattaa olla tyhjä, joten kannattaa tarkistaa sen olemassa olo vaikka isset() funktiolla. Else haaran jälkeen tulee kummallinen $id muuttujan siivous, jolle ei ole tarvetta.

Käytän myös sitä muualle. =D
Niille homoille jotka spämmää on tulossa ip bänät. Byebye nabs!

Huomasinpas tossa tommosen jutun, että käyttäjien e-mail-osoitteet näkyy myös niille jotka eivät ole rekisteröityneet. No ei siinä muuta, mutta tuolla kun käy joku botti joka kerää noita, niin sehän on hienoa kun päätyy spämmilistalle.
Mielestäni putkassa on hyvä ominaisuus, ettei osoitteet näy kuin niille jotka ovat kirjautuneet sisälle.
Korjausta tähän?

alker: voipi olla, että spämmääjät ovat ainoita, joiden ansiosta koodisi reikäisyys paljastuu. Oikeasti ne, jotka noita reikiä hyödyntää, voivat kaikessa hiljaisuudessa hyötyä kalastelemalla tietoa.

IP-banni lienee myös heikoimpia kaikista yleisistä bannaustavoista. Se haittaa oikeasti vain kiinteän osoitteen päässä olevia. Yleensä IP:n vaihtaminen on helppoa, yksityisille kun harvoin annetaan kiinteitä osoitteita (ilman eri maksua). Lisäksi samalla saattaa bannata enemmän väkeä kuin haluaa, esim. jotkut koulut ovat yhden julkisen IP:n varassa. Bannaa se osoite ja koko koulu on sivuilta ulkona. Paitsi se ilkityön tekijä, joka osaa käyttää välityspalvelimia...

Teen taas päivitystä. Sivusto ei kyllä ole pois päältä mutta sivupohja vaihdetaan ja muuta pientä säätöä tullaan tekemään.

Sivupohjaa sivustolle tarvittaisi. Olisiko joku graaffiko valmis tulemaan projektiin mukaan. Päivityksen myötä laitettaisi sivupohjan muokkaus sivu valmiiksi. Eli Käyttäjä voi muokata sivupohjaa. Tulisiko ketään mukaan projektiin. Saisi myös "admin" oikeudet. Myös teen niin että et voi suoraan enään lisätä sivupohjaa vaan minun pitää suostua laittamaan se sinne admin paneelista.

Eikö ketään kiinnosta?

Saattaisi kiinnostaa jos projekti olisi yleensä vähänkään kiinnostavampi. Sivustosi ideanan on sinänsä ihan hyvä, mutta ei vain kauheasti huvita tuhlata aikaa grafiikoiden piirtämiseen sivuille, jonne tuskin koskaan tulee kuitenkaan kauheasti käyttäjiä (luullakseni). Itse mielummin aloittaisin uuden sivuston ja kiroittaisin kaiken koodin itse (nykyisen sivustosi tason kirjoittamiseen menisi luullakseni itselläni noin pari päivää), kuin ryhtyisin graafikoksi tälle sivustolle. Adminiksi pääseminenkään ei vähempää voisi kiinnostaa...

Missä noita sivupohjia voi edes käyttää?

Jos kyseessä olisi joku vähääkään yleisempi cms (esim. Wordpress), niin sivupohjia olisi oikeasti järkevämpi jakaa, mutta nyt kun sivupohjat on.... johonkin, niin sivun tekijä joutuu räätälöimään sivustonsa sisällön uudelleen sivupohjaa varten.

Millä tavalla noita sivupohjia pitäisi käyttää? Ladatussa paketissa voisi olla vaikkapa ohjeet mukana. Lisäksi suoraan tiedostoon kirjoitetetut tyylit ovat kankea tapa hallita sivuston ulkoasua. Kuvien käyttöä voisi myös miettiä, koska sellaisenaan ne ovat erittäin huonosti skaalautuvia. Tarjoillut koodit olisi suotavaa olla edes tarjoillun doctypen mukaan valideja, joita ne eivät taatusti ole. Kokeilin yhtä tyyliä, mutta se ei oikein vakuuttanut.

Haluisin tuoda esille sellaisen näkökulman, että voi tästä jotakin positiivistakin löytää. Tällaiset tapaukset varmasti opettavat parempaan tietoturvaan jatkossa.

Ehkä hyvä, että näin käy tässä vaiheessa, eikä silloin kun on kyseessä joku isompi projekti. Silloin ei ole enää varaa virheisiin...

Fin Web Design kirjoitti:

Olet 440 vieras

Jaa, ei tämä ihan taida kyllä laskea kävijöitä, vaan sivunlatauksia.

Macro kirjoitti:

Fin Web Design kirjoitti:

Olet 440 vieras

Jaa, ei tämä ihan taida kyllä laskea kävijöitä, vaan sivunlatauksia.

Niin taitaa tehdä :D

Uusi sivupohja tulossa. Tässä esimakua.

Millä ohjelmalla piirtelet noita ulkoasuja? Lähinnä kiinnostoisi omille sivuille tekstilogo tehdä.

MIB kirjoitti:

Millä ohjelmalla piirtelet noita ulkoasuja? Lähinnä kiinnostoisi omille sivuille tekstilogo tehdä.

Photoshop Cs2

Eli olen nyt muokkaillut Fin Web Designiä ja nyt sillä on uusi sivupohja. Sivupohja ei toimi viel kaikilla sivuilla miten sen pitäisi. Mutta sekin korjataan puolen tunnin sisällä

Pikkuisena vinkkinä, että kannattaisi antaa tekstin vähän vapaammin rivittyä, eikä rivittää sitä pakollisesti tyhmistä kohdista.

ITS TIME TO ADD SOME LAYOUTS USERS! Eli teidän on aika lisätä sivupohjia sivulle. Muuten lopetan projektin ja poistan koodit!

Senkun poistat vaan. Tommosella asenteella kun ei nääs oikeen saa mitään kunnioitusta eikä ainakaan ulkoasuja sivulle. Tee niitä itte kerran kun sivunkin väsäsit, siellä pitää olla ns. startti muille. Plus yksi todella hyvä keino saada ihmisiä tekemään niitä ulkoasuja olisi laittaa tuonne sivulle tutoriaali miten niitä oikein tehdään.

P.S. Esimakua.BMP /puke-right-now

Hyvä idea laittaa tuo tutoriaali :D

Edelleenkään ei ole juurikaan mitään hyötyä tehdä sivupohjia, jos sivupohjaa ei voi laittaa valmiiseen julkaisujärjestelmään.

Sivupohjan tehtävä on eriyttää ulkoasu ja sisältö toisistaan, jolloin sivuston ulkoasua voi vaihtaa vaikkapa juhlapyhien mukaan, ilman, että koko sivuston runko pitää uusia.

Voit esimerkiksi lukea tuota mun koodivinkkiä noista sivupohjista nettisivujen teon apuna. Niissä siis sisällöllä ei ole mitään yhteyttä ulkoasuun. Ainoastaan rajapinta vaadittaville elementeille.

Tuo tulee seuraavaksi Lebe80 :D

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Mikä loistava tarjous, mutta taidan kieltäytyä...

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

jo123 kirjoitti:

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

Yea i'm :D

alker kirjoitti:

jo123 kirjoitti:

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

Yea i'm :D

Yllätyn vilpittömästi, jos joku hieman pätevämpi koodari tulee mukaan projektiisi.

Tarkista sähköpostisi.

and3r kirjoitti:

Tarkista sähköpostisi.

Tarkistin

Kannattais muuten kattoo hieman, että millasta kuraa tonne on lisäilty...

Tämä tulee nyt ihan yleispätevänä, ei pelkästään noita leiskoja koskevana kritiikkinä: voi miettiä jotakin ovelampaakin jaottelua kuin sivuston logo, valikkopalkki, sisältö ja footer päällekkäisinä laatikoina. Kannattaa kokeilla edes jotakin, joka hieman rikkoo tuota tylsyyskaavoista tylsintä. Joitakin vaihtoehtoja:

- Ei logoa/sivustonnimeä ollenkaan, eli vahva painotus navigaation kautta sisältöön.

- Navigaatio sivun lopussa (tämä taitaa olla jopa trendiä nykyään) tai paljon perinteisemmin laidalla.

- Järkytä kävijöitäsi: sivulla pelkkä sisältö näkyvissä! Navigaatio voi esim. roikkua sivun mukana avattavana palkkina. Haastava toteuttaa hyvin, ja JavaScriptin puuttuessa navigaation pitäisi näkyä normaalimmalla tavalla (JS-koodi voi esimerkiksi vaihtaa body-elementin ID-attribuutin, jolloin eri CSS voi hoitaa asiat). Voi toki yrittää toteuttaa myös puhtaalla CSS:llä. Mobiiliselaimet ovat myös haaste.

Suosittelen pitäytymään näissä peruselementeissä, sillä omien jaoteltujen palasten ongelmaksi tulee pian visuaalinen sekasorto. Mallista käyvät vaikka portaalisivustot, joille tavanomaista on jako kolmeen palstaan, joista keskellä on sisältöä ja molemmin puolin sivustoilla näkyy kaikenlaisia tilpehöörilaatikoita. Koeta siinä sitten kävijänä löytää etsimäsi! Vähemmän voi siis olla enemmän.

Nykyisin monien sivustojen toimiessa CMS-järjestelmän (kuten WordPressin) pohjalta on myös hakulaatikolla merkitystä. Tämä kannattaa yleensä laittaa suht näkyvälle paikalle lähelle sivun yläreunaa ja jättää se mahdollisimman pelkistetyksi.

Pakko lisätä tähän Merrin pätkään. Miksei tietysti voisi tehdä tylsästi päällekkäisiä laatikoitakin, jos ne tuntuvat tarkoitukseen sopivilta, mutta siinä tapauksessa, panosta grafiikkaan paljon enemmän.

Sivustosi menestyy vasta, kun on helpompaa ja kannattavampaa laittaa sivupohja sinun sivuillesi ladattavaksi kuin tehdä itse sivusto, jolle laittaa ne omat leiskansa ladattaviksi.

Miulla saattais olla aikaa leikkiä tuon projektin kanssa hetki. Tosin enpä voi sanoa että hirveästi osaisin mitään. Admin salasanoilla sun muilla en tee mitään enkä aijo toimia juoksupoikana tai orjana mutta tosiaan jos satun hereillä olemaan niin voisin vaikka vähän kokeilla neuvoa ja muuta turhaa.

Päivitys:
Uusi sivupohja

Lisätkää nyt niitä sivupohjia sivustolle :)
Jos tämäkään ei mielytä teen kilpailun. Se joka lähettää hienoimman sivupohjan minulle sähköpostiin: a.t.allu110(ÄT)gmail.com saa pientä mainostusta copyright boksissa. Eli saa sivustonsa mainoksen siihen niin kauvan kuin sivupohja on sivustolla :)

alker: kuunteletko sä ketään?

Eli musta noiden sivupohjien lisäily on siihen asti täysin turhaa, jos niitä ei voi missään käyttää.

Eli tutkaile esim. Wordpressin käyttöä ja miten siihen tehdään templateja, ja tee järjestelmästäsi semmonen, että niitä voi helposti lisäillä, ja jakaa. Ennenkaikkea myös etsiä eri hakukriteerein.

Hmm, ei millää pahalla, mutta tuo sun sininen taustas ei sovi yhtään muuhun tyyliin...

Kysyin tuolla hiukka ylempänä, että miten noita käytetään. Et ole vaivautunut vastaamaan tähänkään kysymykseen. Samalla voisit tietty laittaa ohjeen, miten noita pohjia pitäis tehdä. Eihän pelkillä kuvilla ole mitään järkeä tehdä sivua. Ihmisillä on erilaisia näyttöjän, joten staattisen kokoinen sivu ei oikein miellytä.

Teuro kirjoitti:

Kysyin tuolla hiukka ylempänä, että miten noita käytetään. Et ole vaivautunut vastaamaan tähänkään kysymykseen. Samalla voisit tietty laittaa ohjeen, miten noita pohjia pitäis tehdä. Eihän pelkillä kuvilla ole mitään järkeä tehdä sivua. Ihmisillä on erilaisia näyttöjän, joten staattisen kokoinen sivu ei oikein miellytä.

Oppaita sivustolla on jo. Lebe80: Etkö tiedä että nuo on HTML sivupohjia? On tuolla myös haku.

mitä tekee HTML-sivupohjalla? Eikös tuo ole vähän takaperoista rakentaa sivusto sivupohjan päälle? Eikös sivupohjien tarkoitus ole juuri se, että sisältö ja ulkoasu pidetään erillään, eli voidaan koska tahansa vaihtaa sivupohjaa sotkematta sivustoa.

Itse yleisesti aloittaessani sivustojen teon teen ensin html-sivupohjan ja suunnittelen ulkoasun muutenkin. Tämän jälkeen suunnittelen teknisen osuuden ja miten sivusto tulee tomimaan ja mainitsemasi ulkoasun ja sisällön erottelemisen jne, joten mielestäni ei alkerin idea aivan huono ole. Olen pari kertaa tosin koettanut aloittaa teknisellä osuudella ja sen valmiiksi saattamisen jälkeen olen tehnyt vasta ulkoasun, mutta se ei vaan toimi yhtä hyvin...

jo123: No siis sivujen nollista tekeminen on eri asia kuin sivupohjan käyttö. Sivupohja on juuri se, että sulla on a) sisältöä ja b) vaihdettava sivupohja.

Jos sä rupeat tekemään sivujasi nollista itse, niin tällöin sanaa "sivupohja" ei voida käyttää, kun sulla ei ole mitään sivupohjia, vaan ne sivupohjat on sun sivustos sisältö ja tekniikka yhdessä.

Lebe80 kirjoitti:

...vaan ne sivupohjat on sun sivustos sisältö ja tekniikka yhdessä.

Miten niin? Selitin ehkä hieman huonosti, tai sitten en ymmärtänyt sinun kommenttiasi... Tekniikka ja sisältö ei itselläni ainenkaan ole yhdessä, jos sitä väität. Mutta joo, ehkä sivupohja on tässä tapauksessa hieman huono ilmaisu.

Sivuston Sivupohja vaihdettu!

alker kirjoitti:

Sivuston Sivupohja vaihdettu!

...joka kusee aika rankasti.

alker: ei tarvi kertoa aina kun vaihdat sivupohjaa. Tai muuten lataan 100 ilmaista sivupohjaa omille henk. koht -sivuille alan spämmäämään _tähän_ viestiketjuu, kun vaihtelen sivupohjia.

Tuonne oppaisiin voisi laittaa väliotsikon, joka kertoo mihin linkki vie.

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

alker kirjoitti:

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

http://img237.imageshack.us/img237/9093/finwebdesingsuomalaista.png

Smuliii kirjoitti:

alker kirjoitti:

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

http://img237.imageshack.us/img237/9093/finwebdesingsuomalaista.png

Käytätkä selaimena Safaria? Itse käytän ja sillä se kusi juuri noin.

Firefoxissa näyttää ihan samalta, mutta IE:llä näytti pelittävän.

No nyt asia on korjattu

No ei ole korjattu. Screeniä en jaksa ottaa mutta ei se pelkkä heightin kasvatus auta jos elementti sen päällä on pistetty kellumaan ja sen korkeus on dynaaminen :F

Nyt näyttää jo pikkasen paremmalta..
2 asiaa:
-Miksi ulkoasu valuu tarpeettoman alas osissa sivuista?
-Miksi sisällön taustakuva vaihtaa väriä, vieläpä noin rumasti? (http://finsearch.vndv.com/body.png)

Osasta tekstiä ei saa selvää. Tuossa kommenttikentässä kannattaa vaihtaa taustaa.

Ankizilla:Siinä on toinen boksi mutta en vain käytä sitä vielä =)
K_L:Asia on muokattu

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

nomic kirjoitti:

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

Kummatkin asiat on korjattu. Nyt ladattu mittari toimii :)

alker kirjoitti:

nomic kirjoitti:

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

Kummatkin asiat on korjattu. Nyt ladattu mittari toimii :)

Nyt väität tiedostojen kokojen olevan bitteinä, vaikka ne ovatkin tavuina.

byte = tavu
bit = bitti

1 tavu = 8 bittiä

No tiesin tuon mutta en tiennyt kumpia ne ovat :D

Eipä siltä näytä. Ja tarkistaminen nopeasti esim. wikipediasta ei todellakaan olisi vienyt kauaa aikaa :g

Sähköpostia ei kannata kysellä, jos ei aio käyttää sitä mihinkään. Lisäksi millitavun (mt) kuvia ei voi oikein tehdä :)

Teuro kirjoitti:

Sähköpostia ei kannata kysellä, jos ei aio käyttää sitä mihinkään.

Olet oikeassa. Itse rekirteröidyn sivulle HUOMATTAVASTI mielummin jos rekisteröitymisvaiheessa ei kysytä sähköpostia.

Ei tuo sähköpostin kysyminen ole huono asia minun mielestä. Vaikka se ei ole mikään tae lisäturvallisuudelle, kun noita spammi laatikoita saa helposti, niin jotenkin se tuo uskottavuutta.

Tarkoitin siis, että sähköpostiin ei tule mitään tarkistetta, joka pitäisi hyväksyä.

Niin koska hostimme ei näköjään anna käyttä mail funktiota. Ja kysäisen tässä saanko mitenkään sitä käyttöön. Jos saan teen myös uuden aktivointi tyylin

Päiviä. FinWebDesign on saanut suuria ja pieniä päivityksiä selkäänsä. Sivustolle tuli esim. Säännöt ja hymiöt.
Teema systeeminkin sain tehtyä. Tervetuloa lisäämään sivupohjia!
Risuja ja ruusuja,kiitos!

Risuja:
http://validator.w3.org/check?verbose=1&uri­=http://finsearch.vndv.com/

Muutenkin kannattaa panostaa siihen järjestelmän sisällön ylläpitoon ja käytettävyyteen, jos haluat tuonne oikeasti ladattavia tiedostoja.

Sivusto tarjoaa sivupohjia, mutta se oma sivu on retuperällä, miten siis luottaa noiden ladattavienkaan sivupohjien laatuun.

Mielestäni ulkoasu on mennyt parempaan suuntaan verrattuna siihen, millainen se oli joitakin viikkoja sitten...
Sivuston kieliasua voisi korjata. Täältä voisi ehkä löytyä joku, jolla on asia paremmin hallussa?
Sekä sivusto jotenkin vaikuttaa hyvin niukalta - kuin kaikki olisi vain irrallaan ja katoamassa pois. Ehkä joku toinen osaa selittää sen järkevämmin.

Ehdotus:
-sivupohjaa pääsee katsomaan myös suoraan kuvaa klikkaamalla eikä pelkästään tekstiä.
-ulkoasu kuntoon: jotkut osat hyppivät vieläkin missä sattuu - kuin kaikki toimisi vain satunnaisesti oikein. Esimerkkinä kun klikkaa katsomaan jonkun profiilia, niin vasemmalle ilmestyy köntti härpättimiä vaikka niiden nähtävästi kuuluisi olla oikealla. Selaimena Tulikettu 3.5.3.
-Blogilistauksen aikana ei näy navigaatiopalkkia, eikä myöskään blogia näyttäessä.
-Tuntuu kuin navigaatiolinkkien välissä olisi liian vähän tilaa - jollain tavalla puistattaa tutkia niitä noin. Ei se maailmaa kaada, muttei se sitä parannakaan.

Tossa jotain mitä pikaisella tutkimisella tuli mieleeni.

Kiitos kummallekkin risuista ja ruusuista.
Lebe:Ihmettelin suuresti, kun katselin noita virheitä, että se valitti iframen src:eesta. Joka on todella syntaxiin liittyvä. Miten ihmeessä se voi huomioida jonkun GLWebin osoitteessa olevan virheen.

Osoitteen &-merkit kuuluu kirjoittaa muodossa &amp; eli muuntaa htmlspecialchars-funktiolla. Jos hieman yrittäisit lukea, niin siinä virheilmoituksen alla selitetään lihavoituna: The most common cause of this error is unencoded ampersands in URLs...

alket: älä sitä iframe sivustoa validoi, vaan katso se linkki, jonka laitoin. Siinä on _sinun_ sivusi validoituna.

No niin väsäsin sivustolle muokkaus sivun. Voit nyt muokata sivupohjiasi helposti!

*** TIETOTURVA RISKIT ***
Eli ilmoitelkaapas tietoturva riskejä sivustolta. Näin minun työni helpottuisi ja saisin enemmän aikaa virheiden korjaamiseen. Ilmoitelkaa niitä pois!
-Alker

"Lataa sivupohja"-napin ympärillä näkyy ainenkin minulla valkoinen reunus. Se ei ole välttämättä suunniteltu näkymään?

Ei ole suunniteltu. Laitan css tiedostoon sen, että se ei näy.

Uusi leiska tullut sivustolle. Toivottavasti pidätte.

Kannattaa floattia vasemmanpuoleinen elementti vasemmalle (elementti style float left) ja antaa oikeanpuoleisen kellua mukana. Lisäksi vasemmanpuoleinen elementti kannattaa ilmoittaa koodissa ennen oikeaa. Minulla tuo ei toimi, vasen elementti on oikean alla.

Sivusto meni muokkaukseen ja muokkautui aika paljon... Sivusto toimii OIKEIN Uusimmalla IE:llä ja FF:llä!

Moro, olen tässä miettinyt, että sivustolle voisi hankkia domainin. Myös tarvisin kaksi valvojaa, jotka voisivat hallinnoida sivustoa. Sitä ennen toivoisin, että sinne lisättäisiin sivupohjia ja että joku kertoisi ns. tietoturva virheet sivustolta, jonka jälkeen sivusto voisi siirtyä uudelle palvelimelle ja saisi enemmäb tilaa tiedostoille. :)

En usko, että tässä vaiheessa kannattaa hankkia yhtään mitään domaineja.

alker kirjoitti:

Moro, olen tässä miettinyt, että sivustolle voisi hankkia domainin.

Miksi ihmeessä? Mitä lisäarvoa se toisi? Hanki nyt kävijöitä ensin – ei oma domain asiaa pelasta.

alker kirjoitti:

Myös tarvisin kaksi valvojaa, jotka voisivat hallinnoida sivustoa.

Noin pieni sivusto, mihin ihmeeseen niitä valvojia tarvitaan?

alker kirjoitti:

joku kertoisi ns. tietoturva virheet sivustolta

Ei sinne tietoturva-aukkoja itsestään tule, vaan olet itse tehnyt ne. (Miksi teit? Ei kannattaisi.) Lähdekoodista ne kaikki löytyvät, ja se on sinulla itselläsi. Ohjeet yleisimpien aukkojen (SQL-injektio, XSS, upload-virheet) korjaamiseen on jo moneen kertaan annettu.

Löysin seitsemän(7) vaihtoehtoa jolla toi on tehty. Tiedetään activity.php jossa ei ole suojausta ja sitten tuo javascript kohta ;) Ja myös download.php on ilman suojausta :D Alkaa tulla näitä virheitä aika paljon :D Taas löysin yhen. Se oli profiili.php :D Siinä voi laittaa iäksi sellaseen merkkijonon jolla voi muokata sql tietoja ;D Pro.php oli kanssa paha tietoturva riski ;D Taas löyty :D Tällä kertaa oli muokkaa2.php :D Kommenttit.php oli kanssa reikä juusto :D

Aika :D hassu :D juttu :D