Pagina 2 di 2 PrimoPrimo 12
Visualizzazione risultati 31 fino 56 di 56

Discussione: Arriva Sharetext!

  1. #31
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Ho aggiunto la funzione di memai in sanitize.php, aggiungendolo alla classe suggerita da binarysun...
    Non era necessario, è già implementata (vedi riga 204). Inoltre non è una classe, ma una semplice funzione.
    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Dove siete riusciti a fare l'ultima SQL injection? Per favore indicate, anche solo per curiosità e per poter trovare all'istante la vulnerabilità ;-)
    Lo script PHP che aggiunge un nuovo testo non protegge affatto il campo descrizione (nemmeno impedendo l'uso delle virgolette), dunque da lì è possibile eseguire tutto ciò che uno vuole.

  2. #32
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Ciao, io non sono completamente in grado di fare una SQL_injection e nemmeno ci provo per non fare danno ma leggendo i dati degli utenti vedo che le password non sono criptate in md5.
    Ti consiglio di provvedere a criptare le password.
    Per il login poi andrai a criptare la password inserita e vedere se le due corrispondono.
    Quando il sistema sarà totalmente protetto, se per te va bene, mi scaricherò il sito e migliorerò la grafica.
    Bye!
    Ultima modifica di radiodelmomento : 21-12-2011 alle ore 14.24.03

  3. #33
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    La password ora viene criptata in MD5, però vi dovrete ri-registrare perchè ho eliminato tutti gli utenti (tanto erano tutti utenti di AV)...

    Ho seri problemi con accenti e caratteri speciali, vi spiego meglio:

    Se utilizzo entrambi le funzioni sanitizeOne() e htmlspecialchars() ottengo tutti i caratteri speciali convertiti in entità html doppiamente convertiti (in pratica è diventa è), a questo punto basta una riconversione con decode e i caratteri speciali sono a posto. Rimangono solo gli accenti che, invece di venire convertiti in è eccetera, vengono convertiti in
    Codice HTML:
    àèìòù
    che genera à èìòù... perchè? La collation dei campi e tabelle del database è unicode...

  4. #34
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Purtroppo al giorno d'oggi non sono ancora riuscito a risolvere problemi come la gestione degli accenti e la sanitizzazione delle stringhe (nonostante usi sempre sanitizeOne() )...

    Online è disponibile la versione 1.9b, qualcuno potrebbe gentilmente fare una rapida analisi e vedere qual'è l'errore? (penso che ci sia un errore che si ripeta)...

    Grazie mille.

  5. #35
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Purtroppo al giorno d'oggi non sono ancora riuscito a risolvere problemi come la gestione degli accenti e la sanitizzazione delle stringhe (nonostante usi sempre sanitizeOne() )...

    Online è disponibile la versione 1.9b, qualcuno potrebbe gentilmente fare una rapida analisi e vedere qual'è l'errore? (penso che ci sia un errore che si ripeta)...

    Grazie mille.
    Ciao, io ho scaricato il sorgente di sharetext e ho cominciato a guardarlo solo che mi è venuto in dubbio: il file con le tabelle è il textcode.sql?

    Spero di no perchè contiene solamente la creazione di due tabelle (non aggiornate) mentre il codice ne richiede pure altre quindi dove trovo il file aggiornato?

    Inoltre spulciando di quà e di là ho visto che utilizzi un tipo di programmazione procedurale con una ridondanza di codice di almeno il 60% e, a lungo andare, sharetext diventerà ingestibile (tanto per farti un esempio la configurazione del db è ripetuta in tutte le pagine mentre dovrebbe essere in un file a se stante).

    Attendo una tua risposta,

    ciao ciao

  6. #36
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    In textcode.sql avevo messo in origine tutte le tabelle necessarie all'installazione di Sharetext, poi purtroppo ho "rotto" il file e quindi devo rimetterci tutte le tabelle complete...

    In effetti pensavo anche io di fare un file, db.php che includa tutto il codice per la connessione al DB...

    Però prima mi serviva un aiuto per sistemare il problema delle query SQL, poi subito dopo dividerei il codice.

    Grazie per il tuo interessamento ;-)

  7. #37
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Però prima mi serviva un aiuto per sistemare il problema delle query SQL
    Appunto, se non dai tutti i file necessari per poter installare Sharetext come possiamo darti una mano con le query SQL?

    Per affrettare i tempi potresti esportare la struttura delle tabelle di Sharetext che utilizzi online in questo momento ed il gioco è fatto.

  8. #38
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Ok, ora nel sorgente 1.9b troverai textcode.sql aggiornato con tutta la struttura attuale del db ;-)

  9. #39
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Ok, ora nel sorgente 1.9b troverai textcode.sql aggiornato con tutta la struttura attuale del db ;-)
    Il file è lo stesso di qualche giorno fà, il mio mac dice che l'ultima modifica risale al 12 dicembre e, per sicurezza, ho scaricato il pacchetto di sharetext 2 volte direttamente dal link che proponi sul sito.

    Potresti ricontrollare il pacchetto?

    Una cosa: per le query ti consiglio di utilizzare gli statement, cambiando anche l'adapter in mysqli (altervista lo supporta) in questo modo non dovresti più avere problemi di SQL injection.

    Rimango in attesa di poterti aiutare...

  10. #40
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    L'archivio è giusto...
    ho ricontrollato...
    sei sicuro di scaricare questo: http://marp.altervista.org/progetti/...etext_1.9b.zip ?

  11. #41
    L'avatar di alemoppo
    alemoppo è connesso ora Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,761

    Predefinito

    Ho dato una sbirciata all'index.php.

    C'é
    Codice PHP:
    <?php include("header.html"); ?>
    Ma non c'é
    Codice PHP:
    <?php include("footer.html"); ?>
    (il footer.html è da finire :-D).

    Ciao!

  12. #42
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    L'archivio è giusto...
    ho ricontrollato...
    sei sicuro di scaricare questo: http://marp.altervista.org/progetti/...etext_1.9b.zip ?
    Yes sicurissimo solamente che ora il file risulta modificato e contenente l'intera struttura di cui necessitavo.

    Mah, mistero misterioso...

  13. #43
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito Soluzione caratteri strani e tildi varie

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    &Atilde;&nbsp;&Atilde;&uml;&Atilde;&not;&Atilde;²& Atilde;¹
    Ciao,
    ho dato uno sguardo al codice e ho trovato una soluzione (forse) al problema dei caratteri che hai riscontrato.

    Ho modificato il codice che aggiunge un testo semplice in questo modo:
    Codice PHP:
    // strippo i tags (tutti)
    // converto le entità html
    // aggiungo gli slash
    $text = addslashes(htmlentities(strip_tags($_POST['text'])));
    Nella pagina di visualizzazione invece ho usato questo codice
    Codice PHP:
    // elimino gli slash
    // decodifico le entità html
    // converto \n di php con i <br/>
    $text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));
    Ho testato il codice sopra con una stringa contenente spazi, tag, accenti, apici e altre cose così: utilizza questo codice come base di partenza per testare tutte le casistiche di inserimento.

    Ho anche qualche critica costruttiva per aiutarti a migliorare:
    • Non utilizzare la programmazione procedurale ma quella orientata agli oggetti
    • separa il codice php dal codice html (nel limite del possibile intendo)
    • utilizza meglio i tipi di campi del database (usi molto il text e, a mio parere, l'80% delle volte non ti serve)
    • usa mysqli e gli statement per dialogare con il db
    • elimina assolutamente la pubblicità dal sorgente che fai scaricare mentre tienila pure sul sito ufficiale
    • migliora la grafica


    Prendi quello che ho detto come critiche costruttive in modo da migliorare la qualità del tuo codice e le tue conoscenze di programmazione; ci vorrà del tempo ma fidati che con un pochino di impegno potrai fare quello che vorrai sul web.

    Se hai bisogno di qualcosa io sono disponibile.

    Ciao ciao

  14. #44
    L'avatar di alemoppo
    alemoppo è connesso ora Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,761

    Predefinito

    Citazione Originalmente inviato da soulcanada Visualizza messaggio
    • elimina assolutamente la pubblicità dal sorgente che fai scaricare mentre tienila pure sul sito ufficiale
    Perché?

    Ciao!

  15. #45
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    Perché?

    Ciao!
    Perchè non mi sembra giusto (come pubblicità intendo i banner dei circuiti pubblicitari di AV) data la natura "libera" del progetto.

    O meglio, sicuramente digilinux vorrà far rientrare qualche soldino sul tempo speso per lo sviluppo di sharetext (e ci mancherebbe altro) ma non capisco come mai inserire lo script per la visualizzazione della pubblicità nel sorgente (le pubblicità del circuito le vedrei bene sul sito ufficiale del progetto).

    Non vogliatemi male ma, personalmente, non la metterei tutto quà.

    In ogni caso sono piccolezze e comunque digilinux può fare quello che crede meglio con il suo progetto, io non posso certo dirgli: no non puoi farlo.

    Ciao ciao...

  16. #46
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Allora, ho incluso tutti i comandi per la connessione mysql in un solo file (dbconn.php) e incluso in tutte le pagine che lo richiedono.

    Purtroppo il problema degli accenti permane: http://sharetext.altervista.org/read...ext.php?id=406

    La pubblicità dal sorgente verrà eliminata con la prossima versione 2.0 (non me ne ero nemmeno accorto!)

    Modificherò il file textcode.sql per usare TEXT solo quando è necessario...

    Per usare mysqli, basta che aggiungo la "i" dopo ogni comando mysql()?
    Dove trovo una guida sugli statement?
    Grazie ;-)

  17. #47
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Purtroppo il problema degli accenti permane: http://sharetext.altervista.org/read...ext.php?id=406
    Permane perchè ho dimenticato di dirti di non usare il resto delle conversioni che fai prima di salvare i dati
    Codice PHP:
    //$textpass1 = sanitizeOne($_POST['text'], 'nohtml');
    //$textpass2 = nl2br($textpass1);
    //$textpass3 = cleanString($textpass2);
    $text = addslashes(htmlentities(strip_tags($_POST['text'])));
    Citazione Originalmente inviato da digilinux Visualizza messaggio
    La pubblicità dal sorgente verrà eliminata con la prossima versione 2.0 (non me ne ero nemmeno accorto!)
    Quello dipende da te; è giusto comunque che tu abbia un minimo di ritorno (fosse anche solo per mantenere gli AC per il db)...

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Modificherò il file textcode.sql per usare TEXT solo quando è necessario...
    Sembra poca cosa ma utilizzare i giusti tipi di campo nel db ti permette di velocizzare tantissimo le query (usando comunque anche gli indici necessari )

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Per usare mysqli, basta che aggiungo la "i" dopo ogni comando mysql()?
    Non è proprio così semplice anche perchè mysqli fornisce un'interfaccia ad oggetti (oltre che procedurale) e io ti consiglio di usarla ovunque (AV+ funziona con mysqli ed i prepared statement; se altervista le supportasse avrei utilizzato anche le InnoDB con le chiavi esterne e le transazioni)

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Dove trovo una guida sugli statement?
    Per mysqli -> L'estensione MySQLi | Manuale di PHP
    Per gli statement -> Interrogare database MySQL | Manuale di PHP

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Grazie ;-)
    E' stato un piacere, se hai bisogno sono quì.
    Ultima modifica di soulcanada : 04-01-2012 alle ore 18.53.52 Motivo: Come il mago telma, ho parlato al plurale anzichè al singolare

  18. #48
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Purtroppo ancora c'è lo stesso problema :-(

    Analizzando il campo text "rozzamente" compare questo: &Atilde;&nbsp;&Atilde;&uml;&Atilde;&not;&Atilde;&s ... invece di àèìòù

  19. #49
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    Purtroppo ancora c'è lo stesso problema :-(

    Analizzando il campo text "rozzamente" compare questo: &Atilde;&nbsp;&Atilde;&uml;&Atilde;&not;&Atilde;&s ... invece di àèìòù
    Ho la stessa cosa anch'io sul campo text, uso una collation utf8_unicode_ci quindi, dato che nel db abbiamo la stessa stringa, l'unica cosa che mi viene in mente è che tu non abbia inserito questo codice quando vai a fare la stampa del testo:
    Codice PHP:
    // prendo la stringa direttamente dal db,
    // rimuovo gli slash
    // decodifico le entità html
    // e converto gli acapo di php in <br/>
    $text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));
    Se ancora non funziona accendete un cero perchè ci sono i fantasmi...

    No anzi, con il link di prova che mi hai dato, ho impostato la codifica utf8 del mio browser (firefox) e tutto funziona...
    Ultima modifica di soulcanada : 04-01-2012 alle ore 22.50.43 Motivo: Capito il problema

  20. #50
    L'avatar di tdef
    tdef non è connesso Utente giovane
    Data registrazione
    12-12-2011
    Residenza
    Udine
    Messaggi
    81

    Predefinito

    Citazione Originalmente inviato da soulcanada Visualizza messaggio
    Ho la stessa cosa anch'io sul campo text, uso una collation utf8_unicode_ci quindi, dato che nel db abbiamo la stessa stringa, l'unica cosa che mi viene in mente è che tu non abbia inserito questo codice quando vai a fare la stampa del testo:
    Codice PHP:
    // prendo la stringa direttamente dal db,
    // rimuovo gli slash
    // decodifico le entità html
    // e converto gli acapo di php in <br/>
    $text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));
    Se ancora non funziona accendete un cero perchè ci sono i fantasmi...
    Guarda lo fa anche a me e ho inserito tutto a UTF8 generic, a casa funziona qui no.
    Tower Defense giochi in Flash

  21. #51
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito



    evidentemente ci sono i fantasmi ;-)

    In contemporanea alla risoluzione del bug degli accenti, mi piacerebbe inserire nella versione 2.0 anche la funzione che permetterebbe a Sharetext di potersi definire completo (e cominciare, così, la mia "campagna pubblicitaria", sperando in risultati), si tratta quella di poter caricare file ODT.
    Ho trovato questa classe, http://odt2xhtml.eu.org/ ma non riesco ad utilizzarla... qualcuno sa adattarla in modo che metta l'html dentro il "solito" campo Text del database, e le immagini nella cartella propria dell'utente che effettua il download.
    Qualcuno è in grado? Grazie mille ;-)
    Ultima modifica di digilinux : 05-01-2012 alle ore 14.42.46 Motivo: fantasmi + Odt2xhtml

  22. #52
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Oggi apro ufficialmente il bando per trovare collaboratori per Sharetext.

    Sono richieste buone conoscenze di PHP e MySQL.
    Chiunque sia interessato, scriva a matrobriva(at)libero.it.

  23. #53
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito Sharetext si aggiorna!

    Oggi Sharetext aggiunge nuove importanti funzionalità!


    • Possibilità di caricare file HTML
    • Possibilità di allegare file ZIP ai testi
    • Possibilità di cambiare colori al proprio profilo



    Spero che vi iscriviate!

  24. #54
    darbula non è connesso AlterGuru 2500
    Data registrazione
    24-04-2011
    Messaggi
    2,896

    Predefinito

    Credo ché il problema delle accentate sia.. imputabile alla encoding ISO8859-1 di php (anche html per colpa del protocollo http1.1) su altervista, se non specificato diversamente tramite header.
    Visto ché usi il database su utf-8, usalo pure da php. (specifica la connessione al database in utf-8, client è server).


    Però resta il fatto ché con htmlspecialchars doveva convertire gli accenti in entità..devi dare una controllatina agli script.

  25. #55
    Guest

    Predefinito

    ciao, il consignlio che ti do io, è simile a molti altri: Cura la grafica!

    inserisci il tuo sito nella mia directory se vuoi! la trovi qua in basso ;)

  26. #56
    L'avatar di soulcanada
    soulcanada non è connesso Utente giovane
    Data registrazione
    12-08-2011
    Messaggi
    75

Pagina 2 di 2 PrimoPrimo 12

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •