Betatest: CommunityGuestbook

Hallo Leute,

habe gerade ein Gästebuch erstellt, das ich bald im Internet zum Download anbieten will, wäre nett wenn ihr euch das GB mal angucken könntet, und mir Tipps geben könnt

Wenn ihr Bugs findet gibt mir sofort bescheid.

Im Augenblick habe ich nur ein Design zur Verfügung, wenn jemand lust hat, kann er mir dabei helfen neue Designs auf die Beine zu stellen

Weitere Informationen: http://www.windows-forum.info/showthread.php?s=&threadid=5876
GB: http://mitglied.lycos.de/winhelp24/gb/index.php

Danke

Gar nicht gut...

Sieht zwar schön aus, aber das war es dann auch.

1. - und das ist das was wirklich gefährlich ist -... man kann HTML-Tags auf über einen GB-Eintrag in dieser Seite einbauen. Mit HTML-Tags können auch JavaScript-Anweisungen eingebaut wird. Und das ist überhaupt net gut... Man könnte dir somit deine gesamte GB-Seite zerstören... Mit PHP code hab ichs noch net ausprobiert...
2. blöd, die vorgehensweise, Formatierungs Tags einzubauen... Mit dem Javascript-Teil (ich glaub das ist das prompt()) ist das nicht wirklcih komfortabel
3. eMails definieren sich nicht nur dadurch, dass sie ein @ haben... du solltest das mit einem Regulären Ausdruck checken
4. Homepages, ICQ-Nummern werden überhaupt nicht überprüft.
5. Sonderzeichen und Umlaute sollten IMMER in codierter Form ausgegeben werden. Wenn ich also ein ü eingebe sollte das in der Ansicht (im Quelltext der Ansicht) als & uuml; erscheinen.

Da du ja mit PHP arbeitest, könnte ich dir bei Bedarf ein wenig helfen... Hab zwar kaum zeit, aber mal schaun was ich machen kann... Werde dir das Teil aber nicht neu programmieren....

Generell schonmal ein paar Tipps:
Annahme:
die Vairable in der der Text eingegeben wird heist $text
die Variable für die eMail addy ist $email
die Variable für die URL ist $url

zu 1.) generell kannst du Tags mit $text=strip_tags($text) entfernen
zu 2.) kann ich dir nicht helfen... ich versuche so wenig JS wie möglich auf meine Seiten zu bauen. Aber ich denke, die Jungs von WT können hier helfen
zu 3.) kann man mit preg_match(,$suchmuster,$email) auf Gültigkeit überprüfen (das Suchmuster schick ich dir noch)
zu 4.) auch preg_match
zu 5.) htmlentities(), htmlspecialchars. Schau dich einfach mal in den String-Funktionen von PHP um.

Danke, Michael

Diese Sicherheitslücken muss ich unbedingt noch beseitigen, wär nett wenn du mir helfen könntest, bin nämlich erst ein halbes Jahr dabei.

Hi Michael,

habe jetzt die meisten Sicherheitslücken behoben, hab die neue Version aber noch nicht geupdatet

Was meinst du soll ich den Server der E-Mail Addy auch noch abchecken lassen, oder dauert das zu lange ?

MfG Christian

Hi

Dauert zulange, außerdem besteht dann glaube wieder die Gefahr, dass dein Server für DoS Angriffe missbraucht werden kann. (Schickt einfach ein paar hundertmal in der Sekunde den Guestbookeintrag ab und jedesmal versucht php den Server zu connecten.

Gruß, Michael

@ Michael_B,

hab das Gästebuch gerade auf neuen Stand gebracht, die Bugs sind behoben

Du kannst das GB ja nochmal durchchecken, und guck dir bitte auch mal den Administrationsbereich an.

Hab die Formatierungen jetzt mit bbcode released.

Danke

Zitat (von deinem Skript) Es dürfen nur 9 Zahlen und keine Buchstaben in diesem Feld vorkommen
Das bezieht sich wohl auf die ICQ nummer... Das sollte da noch dabei stehen... Außerdem gibt es auch 8-Stellige ICQ Nummern.

Mit der Formatierungssache hast du mich wohl flasch verstanden... Es wäre schön, wenn sich die entsprechenden Formatierungs-Tags (bbCode) wie bei den Smilies direkt in den Text einfügen, ohne diese spezielle JS-Abfrage...

Irgendwas stimmt mit deiner URL-Checker-Funktion nicht. verweigert mir jeden Eintrag.

Die Codierung dr Sonderzeichen ist okay... allerdings gibt es IMHO für | und ~ auch Codes.... schau da nochmal nach. Evtl. solltest du auch versuchen den \ und den / zu codieren.

Sonst ok. aber ich hab nicht getestet, ob ich HTML-Tags eingeben kann. aber ich denke du hast auch das korrigiert.

Schönes Wochenende

Den Bug mit dem URL-Feld habe ich gerade behoben

Wegen bbcode: Achso, ist das denn besser ?

Update: Habe jetzt auch die ICQ-Prüffunktion und Formatierung verbessert

Gruss Christian, und auch ein schönes Wochenende

Ehm ... die Lycos Werbung nervt

Entschuldigung da kann ich nichts für, kannst mir ja einen besseren bzw. schnelleren Server besorgen ;D

Nein, Scherz bei Seite, ich bin erst 15, und hab noch nicht soviel Knete um jeden Monat 5 ? oder so für Webspace zu bezahlen

Hehe...Zum üben und herumprobieren ist das schon okey bei dir, meinerseits halte ich nicht viel von Freehostern, zuviele Probs ;D

Tip: Kannst dir ja auch mal den Quellcode von anderen fertigen GB´s anschauen, vielleicht hilft dir das als Anreiz noch ... viel Spass weiterhin

Gruss

@ Michael_B

habe die Formatierung jetzt soweit wie möglich umgestellt, hab alle promt()-Befehle entfernt, ausser einen

Update: Habe das Formaular jetzt in einer extra Seite integriert, sieht das besser aus ?

@ All

An alle anderen User, ihn könnt auch noch eure Meinung abgeben

Danke [br][br]Erstellt am: 13.04.03 um 12:23:35

---

[br]Habe jetzt zwei neue Designs entworfen, wie findet ihr sie, möche mir vielleicht einer beim entwickeln neuer Designs helfen ?

Hier die Designs:



Gruss Christian

ich weiß nciht ob ihhr das mit der emial hinbekommen habt, hie rist meine Prüfung aber ist ja geschmackssache

if (!(ereg (^.+@.+\\..+$, $email))) { echo falsche email; }
wobei hier $email die zu prüfend email ist

Wieso wir ;D, das hab ich alleine gemacht

Ich hab die E-Mail mit preg_match() überprüft.

auch gut

Info: Hab nun ein Modul mit eingebaut, das die falschen Logins, aufzählt und die IP Datum und Zeit des falschen Logins speichert

P.S: Die Version ist noch nicht geupdated

Hi!

Das Eintrage Formular könntest du in eine Tabelle setzen,
denn dann siehst du den Hintergrund nich so
Stören tut er mich...
was meint ihr?
die hintergrundfarbe der tabelle ( in dem dann das formular wäre ) musst du natürlich entscheiden! ;D
schwarz sieht vielleicht ganz gut aus...
... probiers einfach mal!

MfG, Blaster

Danke Blaster, da weiss ich jetzt ja was ich noch vebessern kann
Aber meinst du das sieht dann besser aus ???

Was meinen die anderen User, ist Blaster's Idee besser ?

Hi

Also
Du musst die Eingabefelder mit trim() bearbeiten, sonst gibt es da ein paar Fehler.
Er akzeptiert ein Leerzeichen bei Name und bei Kommentar, und wenn man am Anfang der Emailadresse ein Leerzeichen eingibt ist sie immer falsch.

Weiterhin ist die Email Validierung noch nicht korrekt.
Nimm mal diesen Ausdruck ;D
preg_match(/[a-z0-9_-]+(\.[a-z0-9_-]+)*@(([0-9a-z][0-9a-z-]*)?[0-9a-z]\.)+([a-z]{2,4}|museum)/i, $ob)

Gruß, Michael

Danke, Michael

Mit euch wird das GB bestimmt der pure Renner ;D

P.s: Was soll das Wort museum im Suchmuster bedeuten ? ;D