Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

Recommended Posts

Здравейте, качвам система която купих наскоро, и ако някой има време да я тества за грешки и пропуски моля да помогне. Свали

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Какво да ти споделя... По принцип, аз като на;инаещ също съм имал подобни проекти. Днес гледайки структурата на кода ти, се чудя колко ще ти е трудно да правиш промени и да поддържаш системата си. Цялата е децентрализирана. Използваш на места обектно ориентирано програмиране и в следващият момент очацваш всичко с процедурен код. Нямам нищо против системата ти, щом за теб работи добре, но по моите виждания, това е много труден за поддържане проект. Навсякъде има омешване на html с php код. Има тонове повтарящ се код без никаква насока за опростяване и целенасочено централизиране за по-лесно управление. Гледайки индекс страницата, направо се отчайвам от подредбата на кода. Не ми се и обяснява защо не трябва да използваш ob_start(); в началото на документа. Даже не ми се мисли за какво използваш сесия съдържаща стринг, а не целочислено число. Просто системата е създавана по стари примери и вероятно от там идва проблема. Прочети по-подробно за ООР и работните рамки като Ларавел. Ще се изумиш колко удобно и бързо става всичко след това. Отностно слабости в системата е лоша практика да дефинираш за константи тези данни:
# DB Connection    
 define('HOST','localhost'); #host
 define('USER','root');      #user
 define('PASS','lf4wlRfHG9'); #password
 define('BASE','freya');       #database
Представи си, че някой намери слабост в системата ти и се опитва да направи дъмп на системната ти база с данни. Ти направо си му дал глобално достъпна информацията за конекция с базата, използвайки вградената в php функция get_defined_constants(true)["user"]. Не съм се ровил много в кода ти но от сега ти казвам системата ти изобщо не е сигурна и прилежна за поддръжка. Не виждам и защита против съсдаването на паралелни конекции на базата данни, което може да доведе до забавяне. Използвай шаблона за дизайн Сингълтон, за да избегнеш работата с повече от 1 инстанция на класовете. Много съм критичен, извинявай, просто не бих използвал системата в някой проект. Самият и начин на писане я прави несигурна. Нямаш подреденост на кода а даже не знам как във файла donate.php имаш 

    mysql_query("UPDATE accounts set `donate_points` = donate_points+$coins WHERE `login` = '".$p->ipn_data['custom']."'");
 

което е направооооо погром в защитата. mysql_query e изтрита от по-новите версии на php. Това означава, че влизайки в условието системата ще тресне бъг и ще даде чувствителна информация на потребителя. 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Не знам през редовете ли четеш @freeman987 , или така ми се струва. Написал съм " качвам система която купих наскоро". 
Иначе благодаря за мнението ти. Аз принципно се занимавам със дизай, затова поисках помощ тук. Със сигурност няма да успея сам да оправя кода, ако си така добър и имаш свободно време, може да удариш едно рамо.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 19 часа, SinisterSmile написа:

Не знам през редовете ли четеш @freeman987 , или така ми се струва. Написал съм " качвам система която купих наскоро". 
Иначе благодаря за мнението ти. Аз принципно се занимавам със дизай, затова поисках помощ тук. Със сигурност няма да успея сам да оправя кода, ако си така добър и имаш свободно време, може да удариш едно рамо.

В момента нямам време да се занимавам с такъв проект. Не знам от къде и за каква цена си купил софтуера, но честно казано не си заслужава да го ползваш. Аз бих го зарязал и започнал отначало, като може да се ползват отделни фрагменти от него.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 57 минути, Cvetomirg написа:

По-добре го качи някъде, за да можем да го огледаме как стои live.

 

При положение че съм дал системата, просто може да си свалиш xammpp и да си я гледаш колкото искаш.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Не бих свалил, камо ли да тествам на localhost нещо, което дори не е обяснено какво представлява и каква работа върши. Блог платформа ли е, ecommerce, music portal, video? porn cms?

От прочитането на поста на @freeman987 разбирам, че става дума за допотопна система, която използва mysql вместо pdo/ mysqli, тоест навярно си се върнал с машина на времето и си купил това чудо през 2000-та година.

 

Редактирано от Cvetomirg

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Току-що, Cvetomirg написа:

Не бих свалил, камо ли да тествам на localhost нещо, което дори не е обяснено какво представлява и каква работа върши. Блог платформа ли е, ecommerce, music portal, video? porn cms?

 

Може да си направиш труда да прочетеш горните коментари. Системата е за игра (Lineage 2) чрез нея може да "дойентваш специален койн" който след покупка чрез пейпал ти идва директно в играта.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

А ти защо не си направи труда от Октомври до сега да качиш допотопното нещо на live сървър, за да видим как се държи в истинска среда. localhost не значи почти нищо. Плюс това ако наистина ползва mysql вместо mysqli - нещата са трагични, още повече че това нещо ползва paypal gateway. Въпросът е как са те скамнали да купиш подобно нещо и колко пари даде?

 

 

Редактирано от Cvetomirg

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 10 минути, Cvetomirg написа:

А ти защо не си направи труда от Октомври до сега да качиш допотопното нещо на live сървър, за да видим как се държи в истинска среда. localhost не значи почти нищо. Плюс това ако наистина ползва mysql вместо mysqli - нещата са трагични, още повече че това нещо ползва paypal gateway.

 

Не съм си направил труда защото системата дори и да се качи ще видиш същото както на localhost-a, за да работи системата напълно трябва да се свържи си mysql, и отделно да дадеш разрешение от navicat, за приема и модифицира информация.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
На 23.12.2018 г. at 10:55, SinisterSmile написа:

Не съм си направил труда защото системата дори и да се качи ще видиш същото както на localhost-a, за да работи системата напълно трябва да се свържи си mysql, и отделно да дадеш разрешение от navicat, за приема и модифицира информация.

Колега, не бъркай релационната база данни използваща драйвъра MySQL с вграден език за стрингово командно управление SQL и вградената (отдавна изтрита от по-новите версии на езика PHP) mysql функция за създаване на връзка с базата данни.  Функцията mysql, при качване на системата в live server, ще ти изтряска толкова грешки, че ще се чудиш защо не ти тръгва, като на локалният хост. Проблема ще е заради различните версии на езика PHP. Та цялата система ти е наистина много зле, а говоря само за кода, без все още да съм я пускал. Това е система от преди 10 години и навярно са те измамили, защото в момента има безплатни работни рамки, като  Laravel, които ти улесняват  изключително много живота. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 26 минути, freeman987 написа:

Колега, не бъркай релационната база данни използваща драйвъра MySQL с вграден език за стрингово командно управление SQL и вградената (отдавна изтрита от по-новите версии на езика PHP) mysql функция за създаване на връзка с базата данни.  Функцията mysql, при качване на системата в live server, ще ти изтряска толкова грешки, че ще се чудиш защо не ти тръгва, като на локалният хост. Проблема ще е заради различните версии на езика PHP. Та цялата система ти е наистина много зле, а говоря само за кода, без все още да съм я пускал. Това е система от преди 10 години и навярно са те измамили, защото в момента има безплатни работни рамки, като  Laravel, които ти улесняват  изключително много живота. 

Да стара е ситемата, за това писах тук, някой който разбира да пробва да е оправи ако е възможно. Системата съм е пробвал директно с live server, не тръгва.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 1 минута, SinisterSmile написа:

Да стара е ситемата, за това писах тук, някой който разбира да пробва да е оправи ако е възможно. Системата съм е пробвал директно с live server, не тръгва.

Никой няма да се наеме да ти оправя тази система, просто защото е изключително зле написана и няма да му се плати. Дори да решиш да отпуснеш някакъв бюджет, то на програмиста ще му е по-лесно на практика да започне от 0 и да се съобразява единствено с твоите изисквания. От там идва и цената. Добре написани системи с нови и сигурни технологии струват около 500 лв заедно с някаква базова поддръжка. Вече ако си решил да създаваш някаква игра то цените започват да се покачват - драстично. Та ако си решил  да си създаваш някаква система, то седни и се научи да програмираш, защото не знам каква сума си дал за този код но в момента аз не бих дал нищо за него. Впрочем, как така си дал пари за нея и я пускаш безплатно за сваляне умът ми не го побира. Дано не си дал много пари за нея, защото не знам на какви години си, но си има практики за обмяна на интелектуален труд в мрежата и не е правилно да се възползват от теб без да си се консултирал с трета страна преди това.  

  • Like 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Системата е на 10 години +, платих за нея 30 евро. Причината поради коят е взех е че просто ми трябваще такава система и упсях да намеря само тази. Ако става за въпрос за друга система вече има които се продава и са от рода на 35 евро с постояннен съпорт. Не знам защо си мислиш, че такъв тип системи струват от рода на 500лв. Относно до играта, вече е направена.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
On 23.12.2018 at 9:34 AM, Cvetomirg said:

По-добре го качи някъде, за да можем да го огледаме как стои live.

 

Ето това е истината! Единствено "на живо" се правят експерименти.  Тестове на localhost не означават нещо особено.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.