Оцените)

Тема в разделе "Web-design и ваши работы", создана пользователем 1ive, 16 янв 2011.

  1. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Вот наконец я дописал до конца обменник игровых валют, и хотелось бы узнать, насколько удобно в плане функционала, и красиво относительно дизайна вышло.
    http://GameKassa.com

    Так как проект был довольно специфический - пришлось написать весь движок с нуля самостоятельно.
    В первую очередь хочу знать насколько все удобно для конечного пользователя.
    (з.ы. кнопка "оплатить заказ" отключена пока до конца не прошли проверку документы для платежных систем)
     
  2. vital

    vital Больной Компом Детектед
    Команда форума Web Team

    Регистрация:
    29 янв 2006
    Сообщения:
    2.474
    Симпатии:
    27
    Мне не нравится дизайн.
    =)
     
  3. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Возможно, я не компетентен в данном вопросе, но разве делать английскую версию сайта посредством простого перевода гуглом - не изврат ли? Я думал, что для этого либо делают отдельный поддомен, либо папку, либо строят текст в зависимости от куки...
     
  4. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Кстати, сайт дырявый, SQL инъекции есть в параметрах id для /cart.php, /news.php и /page.php (элементарно, подставь 1'). В /cart.php ещё уязвим zakazno, введи туда например "1 or (sleep(2)+1) limit 1 --" или "<body onload=prompt("XSS_active")>".
    Ещё неплохо папку /index_files/ закрыть от просмотра.
    Для сессионных куки не поставлен флаг безопасности и hhtpOnly.
     
  5. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Про SQL-инъекцию было известно изначально. Все вопросы безопасности решаются.
    Просил оценить только дизайн и удобство использования.
    Мне не доплачивали за написание английской версии сайта. Кнопки потом сменят по желанию.
     
  6. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Ок, тогда вопросов нету. Я просто пишу сразу, что есть, другое дело, известно ли, что есть такие косяки исполнителю.
     
  7. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Спасибо за информацию все-равно)
     
  8. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    А теперь ради интереса)
    Во сколько бы вы оценили проделаную работу в рублевом денежном эквиваленте? (без учета sql-инъекции, с этим отдельная история :lovecodeby: )
     
  9. vital

    vital Больной Компом Детектед
    Команда форума Web Team

    Регистрация:
    29 янв 2006
    Сообщения:
    2.474
    Симпатии:
    27
    Долларов 300-400. Хз че там в рублях.
    Впрочем, я всегда отличался не дешевыми расценками)
     
  10. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Решил вопрос с SQL-инъекцией.
    EmptyR, потести, насколько качественно) Может, что-то пропустил.
     
  11. Dock1100

    Dock1100 :-]

    Регистрация:
    9 ноя 2009
    Сообщения:
    678
    Симпатии:
    0
    жмём eng потом rus и пишет:
    1.png
     
  12. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Эх... Снова тяп-ляп: на странице http://gamekassa.com/cart.php введи в поле zakazno значение ] | * | user[@role='admin' LIMIT 1

    Добавлено: Значение в этом поле точно проверяется на тип "число"? По ходу, можно просто ввести НЕ числовое значение ,появится надпись, что нету такого столбца в таблице
     
  13. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Тестировал через другие программы - все жалуются на cart.php в смысле SQL-инъекции. Что то дело ваше, товарищь, плохо. Я бы сделал так:
    1. Получаю из $_POST[zakazno] значение, проверяю через is_numeric, что значение действительно число.
    2. На всякие пожарные, обработал бы значение через htmlspecialchars и strip_tags, чтобы не пытались выполнить какую нибудь хитрую XSS.
    3. Проверяю, что оно не больше, например, 999999 (где то читал, что большие значения могут привести к сбою в запросах к SQL базам).
    4. Если всё чётко, делал бы дальше своё дело, если нет, возвращал эту же страницу с текстом "Неверное число. Пожалуйста, убедитесь, что Вы ввели правильный номер заказа, и повторите ещё раз".
    5. Для самых "настырных" я бы сделал блок по IP на время, чтобы убавить пыл (5 раз попытаться выяснить что там с заказом, думаю хватит).

    Добавлено: Похожие проблемы и на страницах, типа http://gamekassa.com/cart.php/?id=5. Поставь проверку везде, что то, что скрипт получил - действительно то, что нужно. Так же на http://gamekassa.com/panel/login.php не установлены httpOnly для куки и флаг безопасности. На этой же странице было бы неплохо логиниться через https, в идеале, дабы пароль передавать максимально безопасно.
     
  14. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Хих. Совсем невнимательный я стал.
    Пропустил это поле и фильтр на него не поставил
    Поправил

    Да, и мой фильтр поинтересней)
     
  15. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Куки так и не настроены на httpOnly и безопасность, плюс заметил фишку: http://gamekassa.com/order.txt . Палитесь, товарищ. :)
    Так же, неплохо создать страницу ошибки 404, а то выдаётся страница апача с инфой о сервере. Как то не солидно... Если не хочется создавать самому такую страницу, Интернет кишит готовыми вариантами.
    Так же советую ужать файл http://gamekassa.com/index_files/css00000.css (например: http://www.css-school.ru/optimiser/). И исправь в этом файле ссылку на http://gamekassa.com/img/game-rbc.gif, она битая.

    ИМХО, всем ставить на показ ссылку в админку сайта (правый верхний угол сайта) - плохая идея.
     
  16. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
  17. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Хм... Зеркало на сайт: http://www.anmiko.com/. Этот домен был использован тобой в предыдущем проекте, что подтверждает портфолио с офф. сайта студии. Вопрос - зачем? :)
    Так же появляется вопрос, нужна ли папка мануала (http://gamekassa.com/manual/) и стандартных иконок (http://gamekassa.com/icons/) Апача.
    Ещё на сайте не включен Gzip для js и css файлов, да и js файлы можно сжать, в принципе.

    Ещё один косяк: когда происходит доступ к js файлам, то они берутся не относительно корня, а относительно данного php скрипта!!! Например, со страницы http://gamekassa.com/news.php/ происходит вызов http://gamekassa.com/news.php/index_files/multibox.js, а не http://gamekassa.com/index_files/multibox.js. Получается, что эти js вообще не вызываются! И так на всех страницах. И при том, css файл вызывается правильно.
    Получается, что сервер не настроен на такие вещи, ибо по хорошему, он бы должен был генерировать ошибку 404.

    Куча ошибок находится валидатором страниц от W3C: http://validator.w3.org/check?uri=http%3A%...ine&group=0
     
  18. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    1ive, ты живой ещё? :facepalm:
     
  19. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Домен этот перестал использоваться (HYIP недолговечны). Поэтому решено было взять его временно, для тестов, пока основной домен не работал. Так он зеркалом и остался.
    В сжатии сайт не нуждается. Страницы легковесные и использовать что-то дополнительное, для еще большего сжатия, думаю, не имеет смысла.

    Ну естественно, css вызыватся правильно) И все нужные скрипты тоже. Ссылки на другие скрипты специально оставлены нерабочими для дальнейшего удобства разработчика

    EmptyR ты хоть сам эти ошибки читал? 23 из них вызваны ссылкой на гуглопереводчик а еще 20 js'ом.
    Я не считаю w3org хорошим валидатором.
    Да и вообще меня не сильно заботит соответсвие моего кода стандартам, написаным кучкой энтузастов, работающих за печенье.


    Добавлено:
    Я не нуждаюсь в твоих советах относительно моей работы. За исключением моментов оценки удобства и дизайна.
    А поднимать тему только ради того, чтоб померяться длинной ..кхм.. не стоило.
     
  20. vital

    vital Больной Компом Детектед
    Команда форума Web Team

    Регистрация:
    29 янв 2006
    Сообщения:
    2.474
    Симпатии:
    27
    Лайв, зря ты так. Тебе правда солидные и полезные советы дали и потратили на них кучу времени.
     

Поделиться этой страницей