Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

Recommended Posts

Здравейте, качвам система която купих наскоро, и ако някой има време да я тества за грешки и пропуски моля да помогне. Свали

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

3-мата които са свалили файла няма ли да дадат някакво мнение? 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Какво да ти споделя... По принцип, аз като на;инаещ също съм имал подобни проекти. Днес гледайки структурата на кода ти, се чудя колко ще ти е трудно да правиш промени и да поддържаш системата си. Цялата е децентрализирана. Използваш на места обектно ориентирано програмиране и в следващият момент очацваш всичко с процедурен код. Нямам нищо против системата ти, щом за теб работи добре, но по моите виждания, това е много труден за поддържане проект. Навсякъде има омешване на html с php код. Има тонове повтарящ се код без никаква насока за опростяване и целенасочено централизиране за по-лесно управление. Гледайки индекс страницата, направо се отчайвам от подредбата на кода. Не ми се и обяснява защо не трябва да използваш ob_start(); в началото на документа. Даже не ми се мисли за какво използваш сесия съдържаща стринг, а не целочислено число. Просто системата е създавана по стари примери и вероятно от там идва проблема. Прочети по-подробно за ООР и работните рамки като Ларавел. Ще се изумиш колко удобно и бързо става всичко след това. Отностно слабости в системата е лоша практика да дефинираш за константи тези данни:
# DB Connection    
 define('HOST','localhost'); #host
 define('USER','root');      #user
 define('PASS','lf4wlRfHG9'); #password
 define('BASE','freya');       #database
Представи си, че някой намери слабост в системата ти и се опитва да направи дъмп на системната ти база с данни. Ти направо си му дал глобално достъпна информацията за конекция с базата, използвайки вградената в php функция get_defined_constants(true)["user"]. Не съм се ровил много в кода ти но от сега ти казвам системата ти изобщо не е сигурна и прилежна за поддръжка. Не виждам и защита против съсдаването на паралелни конекции на базата данни, което може да доведе до забавяне. Използвай шаблона за дизайн Сингълтон, за да избегнеш работата с повече от 1 инстанция на класовете. Много съм критичен, извинявай, просто не бих използвал системата в някой проект. Самият и начин на писане я прави несигурна. Нямаш подреденост на кода а даже не знам как във файла donate.php имаш 

    mysql_query("UPDATE accounts set `donate_points` = donate_points+$coins WHERE `login` = '".$p->ipn_data['custom']."'");
 

което е направооооо погром в защитата. mysql_query e изтрита от по-новите версии на php. Това означава, че влизайки в условието системата ще тресне бъг и ще даде чувствителна информация на потребителя. 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Не знам през редовете ли четеш @freeman987 , или така ми се струва. Написал съм " качвам система която купих наскоро". 
Иначе благодаря за мнението ти. Аз принципно се занимавам със дизай, затова поисках помощ тук. Със сигурност няма да успея сам да оправя кода, ако си така добър и имаш свободно време, може да удариш едно рамо.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 19 часа, SinisterSmile написа:

Не знам през редовете ли четеш @freeman987 , или така ми се струва. Написал съм " качвам система която купих наскоро". 
Иначе благодаря за мнението ти. Аз принципно се занимавам със дизай, затова поисках помощ тук. Със сигурност няма да успея сам да оправя кода, ако си така добър и имаш свободно време, може да удариш едно рамо.

В момента нямам време да се занимавам с такъв проект. Не знам от къде и за каква цена си купил софтуера, но честно казано не си заслужава да го ползваш. Аз бих го зарязал и започнал отначало, като може да се ползват отделни фрагменти от него.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.