[Jann Hendrik]

Ich würde euch mal bitten ein 'Gästebuch' zu testen. Das ist noch nicht fertig - aber ich möchte abschätzen können, ob die Sicherheitstests meinerseits eingebaut ausreichen.

Daher könnt ihr testen, was ihr für wichtig haltet.

Ich werde die Beiträge anschließend natürlich löschen, bevor es dann letztlich losgeht...


Wer sich überzeugen will, dass die Domain auch mir gehört kann ja bei der DENIC nachschauen .


Für den Fall, dass ihr eine Sicherheitslücke gefunden habt, dann lasst es mich bitte wissen, was ihr gemacht habt - und wie man sie schliessen kann - ich will das ja anschl. sicher haben!


CAPCHA werde ich wohl nicht einbauen.



http://blauundweisseinlebenlang.de/



Das ganze soll eine Geburtstagsgratulationsseite werden....

Das Layout ist noch nicht fertig - es geht nur um die Funktionalität!

[schifti]

Wenn ein Fehler drinn ist, ist das Alter automatisch auf 1
Ich würde statt <b> lieber <strong> verwenden.

Beim den Feldern, wird der Text wohl automatisch gekürzt oder die Spalte begrenzt (40)
Man kann aber so ziemlich lange Texte beim Gratulationstext schreiben, würde ich noch mit strlen überprüfen oder evtl. einfach kürzen

[Jann Hendrik]

Zitat:

Zitat von schifti

Wenn ein Fehler drinn ist, ist das Alter automatisch auf 1

Das konnte ich nicht nachvollziehen - ich habe einen Fehler in dem Bereich korrigiert - ist das bei dir immer noch?

Zitat:

Zitat von schifti

Ich würde statt <b> lieber <strong> verwenden.

erledigt.

Zitat:

Zitat von schifti

Beim den Feldern, wird der Text wohl automatisch gekürzt oder die Spalte begrenzt (40)

das ist Datenbank-bedingt.

Zitat:

Zitat von schifti

Man kann aber so ziemlich lange Texte beim Gratulationstext schreiben, würde ich noch mit strlen überprüfen oder evtl. einfach kürzen

weiß ich noch nicht....
Mal schauen - das werde nicht ICH entscheiden, sondern mein 'Kunde'.
Einfach so gekürzt wird da jedenfalls nichts!

[schifti]

Zitat:

Zitat von Jann Hendrik

Zitat:

Das konnte ich nicht nachvollziehen - ich habe einen Fehler in dem Bereich korrigiert - ist das bei dir immer noch?

Jetzt stehts auf 0

Zitat:

Zitat von Jann Hendrik

Zitat:

weiß ich noch nicht....
Mal schauen - das werde nicht ICH entscheiden, sondern mein 'Kunde'.
Einfach so gekürzt wird da jedenfalls nichts!

Klar.
Vorschlag:
vielleicht dann einfach ein "mehr" Link, und das dann mit Ajax (so zum Aufklappen)

[Bookworm]

Hm, ich konnte ihm keine Fehler entlocken.... Sieht gut aus, nur die Eingabe oben sie ein bisschen gequetscht aus... Und die Überschrift sollte man vll centern? Ansonsten: Wenn die Seite schon blauundweisseinlebenlang.de heißt, sollte sie auch vll in blau und weiß gehalten sein?

[Jann Hendrik]

Zitat:

Zitat von Bookworm

Hm, ich konnte ihm keine Fehler entlocken....

Gefällt mir zwar - aber lieber wäre es mir, wenn ihr die ggf. noch vorhandenen Fehler finden würdet!

Zitat:

Zitat von Bookworm

Sieht gut aus, nur die Eingabe oben sie ein bisschen gequetscht aus... Und die Überschrift sollte man vll centern? Ansonsten: Wenn die Seite schon blauundweisseinlebenlang.de heißt, sollte sie auch vll in blau und weiß gehalten sein?

dazu nur:

Zitat:

Zitat von Jann Hendrik

Das Layout ist noch nicht fertig - es geht nur um die Funktionalität!

Die Seite soll so nicht bleiben! Ich erarbeite die Seite ja noch - das ganz wird mit einer professionellen Grafikerin gemacht. Wenn unsere Kommunikation gut klappen sollte wird das eine kleine Seite, aber eine feine Sache!

Zitat:

Zitat von schifti

Jetzt stehts auf 0

Das ist... merkwürdig - ich kann das einfach nicht nachvollziehen, warum das so ist.... Ich habe das so, wie es auch sein soll!

Mich würde interessieren, was genau du machst, damit dem so ist!

Zitat:

Zitat von schifti

vielleicht dann einfach ein "mehr" Link, und das dann mit Ajax (so zum Aufklappen)

gute Idee - ich kann zwar kein AJAX, aber... ggf. gibt es da was mit CSS zu machen....

Sollte relativ sicher sein.
htmlentities wird ja verwendet d.h. XSS ist ziemlich ausgeschlossen.
escaped wird auch.

Ich werde nachher noch ma mit telnet ein paar manipulierte header senden.

Die E-Mail Adresse solltest du vielleicht noch validieren.

MfG Fat Tony

[Jann Hendrik]

joh, das klingt doch schonmal gut - soweit... Bin mal auf deine header-Attacken gespannt!


Was die eMail-Adresse angeht... mmmh... da die nur optional ist muss ich mir da mal was einfallen lassen...

Würdet ihr da den Moster-preg-match nehmen, der mal auf php.de gepostet wurde?

Ich gestehe, ich habe noch nie wirklich auf eMail-Adressen-Validierung wert gelegt...

Verwende http://at.php.net/getmxrr sofern du einen Linux Server hast.
Ein regulärer ausdruck ist nie sehr effizient, weil die meisten falschen Angaben durch Tippfehler entstehen zB ed statt de. Regex also nur als "good last Resort".

Zitat:

Bin mal auf deine header-Attacken gespannt!

Naja, ich werde einfach auf den verschiedenen Charsets etc. herumtesten.
So gegen 24:00 Uhr werd ich Zeit dafür haben.

Sieh dir auch die User Kommentare an.

MfG Fat Tony

[Jann Hendrik]

Server steht nicht bereit!


Ich habe mir mal folgenden Kommentar genommen:
http://de2.php.net/manual/de/function.getmxrr.php#64117

Diese Funktion scheint zu funktionieren:
http://www.developement.bekaan.org/mxrcrd.php

jou. allerdings solltest du noch eine bessere validierung durchführen. aber ansonsten. würd ich das so verwenden.

mfg fat tony

[Jann Hendrik]

die email-Adresse selbst ist nicht verpflichtend - das ist auch absicht.

Was die anderen Daten angeht - muss ich mir mal überlegen, wieweit ich da noch weitere Validierungsmaßnahmen starten werde - denke aber eher mal nicht....
Mal schauen.

[Chr!s]

Zitat:

Würdet ihr da den Moster-preg-match nehmen, der mal auf php.de gepostet wurde?

Nein. Denn der lässt auch sowas wie test@domain (ohne .de ect) durch..

[Jann Hendrik]

hatten wir das Thema nicht schon, dass es eigentlich auch eine gültige eMail-Adresse sein müßte?

Du scheinst Zeichen zuzulassen, welche Deine Validität in Gefahr bringen (falls Du überhaupt Wert darauf legst...)
http://www.validome.org/validate/?ur...inlebenlang.de

Zitat:

Ich würde statt <b> lieber <strong> verwenden.

Warum?



grüsse
flupsi

[Jann Hendrik]

Zitat:

Zitat von flupsi

Du scheinst Zeichen zuzulassen, welche Deine Validität in Gefahr bringen (falls Du überhaupt Wert darauf legst...)

Danke für den Hinweis - ich habe mich da wohl zu sehr auf mein FF-PlugIn verlassen....


// edit: Validität nun gewährleistet. Ggf. nun nur noch durch Einträge gefährdet...

über telnet bekomme ich irgendwie keine verbindungen ...
hab das dann einfach mit einem script versucht (fsockopen) und es sollte relativ sicher sein.

mfg fat tony

[Jann Hendrik]

schön - dann werde ich den einen und anderen berechtigten Kritikpunkt, der noch besteht nochmal durchlesen.


Ich bedanke mich bei euch und erkläre hiermit die Testphase für beendet!

Soweit es mir zeitlich möglich ist, werde ich das Layout nun bearbeiten...

[schifti]

Zitat:

Zitat von flupsi

Zitat:

Warum?

Ist aktueller, laut xhtml 1 > sollte man statt <b> <strong> verwenden, sowie <em> statt <i>

@schifti:
...wer lesen kann ist klar im Vorteil. Ich habe Deinen Satz falsch herum gelesen und gedacht, Du würdest <b> bevorzugen