Nazor na stranku
Nez vypustim mou praci na webhosting rad bych slysel nazor zdejsich.
je pravda ze nektere veci jsou na webu nedokonale, upozorneni RSS je docasne nefunkcni umyslne.
hrazny.certcv.com a zde je ma odruda 
Trochu som to testoval na bezpecnost takze ak budes pozerat nejaky log tak sa nelakaj
(provokoval ma ten tvar linky (?index=stranka), ale vyzera to ok (nenapada ma uz nic ako by som zmenil/osudil ten subor co nacitavas).
Na podadresare si nastav nech to neposkytuje directory listing. Tajna diskusia v hlavnom adresari je tiez zaujimava
Co som uz pisal je heslo (aj ked len hash) v cookie, daju sa tam vkladat obrazky a URL takze ti moze meno/heslo(hash) niekto ukradnut ked budes prihlaseny ako admin a nahodou kliknes na stealer linku v diskusii. Ak budes admin pouzivat len vynimocne tak OK, ja len ze aby si vedel
Ked tak sa daju pouzivat session (napr ako tato poradna) ale nepytaj sa ma presne ako, to podrobne neviem ani sam 
Ten "admin" button radsej skry, ako pise Igor.
v cookie ma len PHPSESSID, co je standard, ale ked ju ukradnes a este nevyprsala, tak mas vlastne vsetko, co ma v tej chvili aj admin, lebo ta sa storuje na serveri a klinet sa nou len identifikuje.
Skus sa prihlasit do admin sekcie. Potom ma cookie:
user_a=meno
user_b=heslo(hash), predpokladam pouzitelne kedykolvek
BTW. ina vec: nevies neda sa v linuxe pri otvarani suboru nejako ignorovat zvysok riadku?
Napr. otvor_subor("/tralala/tralala.php a_toto_dalej_odignoruj:/niecoine.txt")
Zaujima ma ako by mohlo vyzerat "a_toto_dalej_odignoruj"
to sa podla mna neda, ked tam das nejaky nazov, tak ho nacita cely. jedine cez buffer overflow, ale ako, to netusim.
jedine este skusit null poison, ale to by si musel zmenit nazov a to uz potom mozes dat nazov, aky potrebujes.
edit: ale ak nazov sklada z dvoch veci, tak cez null poison by to mohlo ist.
null som skusal, nejde, tusim ide len na perl ci cgi, na php asi nie, neviem preco
)
Ma tam nejake zlozitejsie testy ale sklada to... (skus nieco/../niecoine
nejdem mu hackovat stranku.
ten admin dialog odtial skratka musi vyhodit.
Ved ja mu to nejdem hackovat
Predpokladam ze ho zaujima aj ci je to bezpecne.
S tym suborom je to asi OK, to sa v php asi neda odrbat.
vsak ja viem, ze ju len testujes. ale staci ked admin formular bude neviditelny a ma o starost menej. inac null poison funguje aj v php, teraz som to testoval. cize vysledok tohto:
je testigor. otazka je, ako to pride z toho formulara, bolo by to treba odskusat.
Je to divne asi tu nulu co poslem berie ako koncovu nulu a pri dalsom spajani ju vyhodi, t.j. skor by bolo treba skusit nieco ako
a potom mojphp.php?trala=testujem%00
Ale nechce sa mi to skusat... Kaslem na to
P.S. skusil som nula tam ostane, je to divne. Asi to ma na tej stranke nejako osetrene (alebo to osetruje automaticky server backslashmi alebo co).
teraz som to odskusal v reale, php sa da v pohode null poisonovat. problem je v tom, ze ked to posielas cez formular, tak "%" sa prevedie na "%25" co je chyba, lebo sa to berie ako normalny ascii znak. musis to poslat get-om cez url a vtedy to v pohode funguje. ako to ma robene on vobec netusim.
Ma to get-om ale nefunguje to
Sa mi zda ze server chce otvorit subor ktory ma v nazve aj ten znak nula 
Neviem necham to uz plavat, nemam jeho zdrojaky takze neviem co sa tam deje...
Este k designu, neviem co z tych dvoch bodov mi vadi viac, to treba asi skusit:
1. vadia mi tam tie nevyuzite okraje, hlavne vpravo 2cm ci kolko je tam nevyuzite, vlavo je stlpec pre menu dost siroky...
2. tienovanie je nezmyselne. Lista horna a listy nad prispevkami vytvoria dojem ze svetlo ide zhora, a ze listy su zaoblene (vydute akokeby do priestoru). Ale lista vlavo je tienovana akokeby islo svetlo priamo zlava (ak by bola vyduta dovnutra) alebo zprava (ak by bola "vypukla"), je to potom priestorovy nezmysel (asi ako moj avatar). Dost zle sa mi na to pozera. Mozno to tienovanie by bolo treba lepsie premysliet, nielen prask rovnobezne s listou najjednoduchsi efekt.
validita, validita a este raz validita:
ako byva zvykom na poradne, prve dva zakladne linky:
CSS - celkom dost chyb
http://jigsaw.w3.org/css-validator/validator?uri=ht tp%3A%2F%2Fhrazny.certcv.com%2F&usermedium=all
HTML - 27 chyb
http://validator.w3.org/check?uri=http%3A%2F%2Fhraz ny.certcv.com%2F
skus tie chyby zredukovat
k designu sa tu tusim uz dost ludi vyjadrilo...
Validitu beru jako zakusek na konec stim si jeste pohraju, je dobre ze byl admin odzkousen, ale pro jisteho cloveka ktery je spis klikos nevim nevim jak mu vysvetlim aby zadal admin.php to bude vysvetlovani do rana
-------------------------------------------------- ---------------------------
P.S. Jeste dodam Session znam a vim jak snimi nalozit asi jej pouziji.
nie je rozumnejsie naucit sa a dodrziavat urcite pravidla validnosti, ako potom na koniec to validovat? tot moj vlastny nazor v zatvorke, ak chces
Sice mas pravdu udelat to nazacatku, ale stranky jsou generovany v objectech PHP takrka html existuje jen v hlavni strance a to jeste s minimem kodu, proto nebude problem to vse opravit v php, vim ze html by byl problem ale zde ne je to napsane jen jeden radek.
Tak jeste dodam ze parser mi vyhazuje ve for nekolikanasobne nesmysl proto je ta stranka nevalidni, jde o zakonceni tagu </div> jdu hledat chybu v nacitani textu.
Problem odstranen validita podle validatoru Html by mela byt OK, ted jdu na zabezpeceni. Design zatim necham protoze stranky mohou mit jakykoliv styl zmenou v adminu na css_neco.css
jemu dik za prozrazeni chyby.
Jen chci vedet komu se povedlo vlozit archiv ...
Vždyť je to o jedno slovo víc? když bude tlačítko na administraci ve veřejné variantě, poleze tam spousta lidí už jen ze zvědavosti. Tipuji toho strejdu v klobouku.
Krato skoro jsi se trefil ale je to ten v cernem triku.
Jen o 31,4 cm vedle. To vůbec není špatné, na tu vzdálenost... Tak přesnou mušku má jen NASA.
Ahoj,
co se týče těch stránek, tak:
1) grafické ztvárnění moc neuchvátí...
- první co musí člověka přitáhnout jsou barvy a design, až pak se dívá na text a z těchto barev a celkového designu nebude moc nadšen a spíš to bude mít opačný efekt a nepočítej s moc velkou návratností návštěvníků
2) po stránce kódování...
jako hlavní nedostatek bych viděl menu dělané pouze v java jazyce
indexovací roboti jsou jako "blbý" návštěvník a odkazům v javě nepřikládají moc velkou váhu
rada zní : krom menu udělat třeba ještě dole lištu s klasickými textovými odkazy
jinak by pomohlo celkově zlepšit stránku ohledně SEO, jinak lidi stránku moc nenajdou, páč málokoho baví klikat ve fulltextu až na bůhví kolikátou stránku ve výsledcích hledání
Jestli chceš, tak zareaguj na tento příspěvek a můžu ti poradit dál co a jak kde zlepšit. Tvorbou www se zabývám už hodně dlouho.
Jinak na amatérský pokus je to dobré, ale moc bych se tím nechlubil.