Arriva Sharetext!

[karl94]

Ho aggiunto la funzione di memai in sanitize.php, aggiungendolo alla classe suggerita da binarysun...

Non era necessario, è già implementata (vedi riga 204). Inoltre non è una classe, ma una semplice funzione.

Dove siete riusciti a fare l'ultima SQL injection? Per favore indicate, anche solo per curiosità e per poter trovare all'istante la vulnerabilità ;-)

Lo script PHP che aggiunge un nuovo testo non protegge affatto il campo descrizione (nemmeno impedendo l'uso delle virgolette), dunque da lì è possibile eseguire tutto ciò che uno vuole.

[radiodelmomento]

Ciao, io non sono completamente in grado di fare una SQL_injection e nemmeno ci provo per non fare danno ma leggendo i dati degli utenti vedo che le password non sono criptate in md5.
Ti consiglio di provvedere a criptare le password.
Per il login poi andrai a criptare la password inserita e vedere se le due corrispondono.
Quando il sistema sarà totalmente protetto, se per te va bene, mi scaricherò il sito e migliorerò la grafica.
Bye!

[digilinux]

La password ora viene criptata in MD5, però vi dovrete ri-registrare perchè ho eliminato tutti gli utenti (tanto erano tutti utenti di AV)...

Ho seri problemi con accenti e caratteri speciali, vi spiego meglio:

Se utilizzo entrambi le funzioni sanitizeOne() e htmlspecialchars() ottengo tutti i caratteri speciali convertiti in entità html doppiamente convertiti (in pratica è diventa è), a questo punto basta una riconversione con decode e i caratteri speciali sono a posto. Rimangono solo gli accenti che, invece di venire convertiti in è eccetera, vengono convertiti in

Codice HTML:

àèìòù

che genera à èìòù... perchè? La collation dei campi e tabelle del database è unicode...

[digilinux]

Purtroppo al giorno d'oggi non sono ancora riuscito a risolvere problemi come la gestione degli accenti e la sanitizzazione delle stringhe (nonostante usi sempre sanitizeOne() )...

Online è disponibile la versione 1.9b, qualcuno potrebbe gentilmente fare una rapida analisi e vedere qual'è l'errore? (penso che ci sia un errore che si ripeta)...

Grazie mille.

[soulcanada]

Purtroppo al giorno d'oggi non sono ancora riuscito a risolvere problemi come la gestione degli accenti e la sanitizzazione delle stringhe (nonostante usi sempre sanitizeOne() )...

Online è disponibile la versione 1.9b, qualcuno potrebbe gentilmente fare una rapida analisi e vedere qual'è l'errore? (penso che ci sia un errore che si ripeta)...

Grazie mille.

Ciao, io ho scaricato il sorgente di sharetext e ho cominciato a guardarlo solo che mi è venuto in dubbio: il file con le tabelle è il textcode.sql?

Spero di no perchè contiene solamente la creazione di due tabelle (non aggiornate) mentre il codice ne richiede pure altre quindi dove trovo il file aggiornato?

Inoltre spulciando di quà e di là ho visto che utilizzi un tipo di programmazione procedurale con una ridondanza di codice di almeno il 60% e, a lungo andare, sharetext diventerà ingestibile (tanto per farti un esempio la configurazione del db è ripetuta in tutte le pagine mentre dovrebbe essere in un file a se stante).

Attendo una tua risposta,

ciao ciao

[digilinux]

In textcode.sql avevo messo in origine tutte le tabelle necessarie all'installazione di Sharetext, poi purtroppo ho "rotto" il file e quindi devo rimetterci tutte le tabelle complete...

In effetti pensavo anche io di fare un file, db.php che includa tutto il codice per la connessione al DB...

Però prima mi serviva un aiuto per sistemare il problema delle query SQL, poi subito dopo dividerei il codice.

Grazie per il tuo interessamento ;-)

[soulcanada]

Però prima mi serviva un aiuto per sistemare il problema delle query SQL

Appunto, se non dai tutti i file necessari per poter installare Sharetext come possiamo darti una mano con le query SQL?

Per affrettare i tempi potresti esportare la struttura delle tabelle di Sharetext che utilizzi online in questo momento ed il gioco è fatto.

[digilinux]

Ok, ora nel sorgente 1.9b troverai textcode.sql aggiornato con tutta la struttura attuale del db ;-)

[soulcanada]

Ok, ora nel sorgente 1.9b troverai textcode.sql aggiornato con tutta la struttura attuale del db ;-)

Il file è lo stesso di qualche giorno fà, il mio mac dice che l'ultima modifica risale al 12 dicembre e, per sicurezza, ho scaricato il pacchetto di sharetext 2 volte direttamente dal link che proponi sul sito.

Potresti ricontrollare il pacchetto?

Una cosa: per le query ti consiglio di utilizzare gli statement, cambiando anche l'adapter in mysqli (altervista lo supporta) in questo modo non dovresti più avere problemi di SQL injection.

Rimango in attesa di poterti aiutare...

[digilinux]

L'archivio è giusto...
ho ricontrollato...
sei sicuro di scaricare questo: http://marp.altervista.org/progetti/...etext_1.9b.zip ?

[alemoppo]

Ho dato una sbirciata all'index.php.

C'é

Codice PHP:

<?php include("header.html"); ?>

Ma non c'é

Codice PHP:

<?php include("footer.html"); ?>

(il footer.html è da finire :-D).

Ciao!

[soulcanada]

L'archivio è giusto...
ho ricontrollato...
sei sicuro di scaricare questo: http://marp.altervista.org/progetti/...etext_1.9b.zip ?

Yes sicurissimo solamente che ora il file risulta modificato e contenente l'intera struttura di cui necessitavo.

Mah, mistero misterioso...

[soulcanada]

àèìò& Atilde;¹

Ciao,
ho dato uno sguardo al codice e ho trovato una soluzione (forse) al problema dei caratteri che hai riscontrato.

Ho modificato il codice che aggiunge un testo semplice in questo modo:

Codice PHP:

// strippo i tags (tutti)
// converto le entità html
// aggiungo gli slash
$text = addslashes(htmlentities(strip_tags($_POST['text'])));


Nella pagina di visualizzazione invece ho usato questo codice

Codice PHP:

// elimino gli slash
// decodifico le entità html
// converto \n di php con i <br/>
$text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));


Ho testato il codice sopra con una stringa contenente spazi, tag, accenti, apici e altre cose così: utilizza questo codice come base di partenza per testare tutte le casistiche di inserimento.

Ho anche qualche critica costruttiva per aiutarti a migliorare:

• Non utilizzare la programmazione procedurale ma quella orientata agli oggetti
• separa il codice php dal codice html (nel limite del possibile intendo)
• utilizza meglio i tipi di campi del database (usi molto il text e, a mio parere, l'80% delle volte non ti serve)
• usa mysqli e gli statement per dialogare con il db
• elimina assolutamente la pubblicità dal sorgente che fai scaricare mentre tienila pure sul sito ufficiale
• migliora la grafica

Prendi quello che ho detto come critiche costruttive in modo da migliorare la qualità del tuo codice e le tue conoscenze di programmazione; ci vorrà del tempo ma fidati che con un pochino di impegno potrai fare quello che vorrai sul web.

Se hai bisogno di qualcosa io sono disponibile.

Ciao ciao

[alemoppo]

• elimina assolutamente la pubblicità dal sorgente che fai scaricare mentre tienila pure sul sito ufficiale

Perché?

Ciao!

[soulcanada]

Perché?

Ciao!

Perchè non mi sembra giusto (come pubblicità intendo i banner dei circuiti pubblicitari di AV) data la natura "libera" del progetto.

O meglio, sicuramente digilinux vorrà far rientrare qualche soldino sul tempo speso per lo sviluppo di sharetext (e ci mancherebbe altro) ma non capisco come mai inserire lo script per la visualizzazione della pubblicità nel sorgente (le pubblicità del circuito le vedrei bene sul sito ufficiale del progetto).

Non vogliatemi male ma, personalmente, non la metterei tutto quà.

In ogni caso sono piccolezze e comunque digilinux può fare quello che crede meglio con il suo progetto, io non posso certo dirgli: no non puoi farlo.

Ciao ciao...

[digilinux]

Allora, ho incluso tutti i comandi per la connessione mysql in un solo file (dbconn.php) e incluso in tutte le pagine che lo richiedono.

Purtroppo il problema degli accenti permane: http://sharetext.altervista.org/read...ext.php?id=406

La pubblicità dal sorgente verrà eliminata con la prossima versione 2.0 (non me ne ero nemmeno accorto!)

Modificherò il file textcode.sql per usare TEXT solo quando è necessario...

Per usare mysqli, basta che aggiungo la "i" dopo ogni comando mysql()?
Dove trovo una guida sugli statement?
Grazie ;-)

[soulcanada]

Purtroppo il problema degli accenti permane: http://sharetext.altervista.org/read...ext.php?id=406

Permane perchè ho dimenticato di dirti di non usare il resto delle conversioni che fai prima di salvare i dati

Codice PHP:

//$textpass1 = sanitizeOne($_POST['text'], 'nohtml');
//$textpass2 = nl2br($textpass1);
//$textpass3 = cleanString($textpass2);
$text = addslashes(htmlentities(strip_tags($_POST['text'])));


La pubblicità dal sorgente verrà eliminata con la prossima versione 2.0 (non me ne ero nemmeno accorto!)

Quello dipende da te; è giusto comunque che tu abbia un minimo di ritorno (fosse anche solo per mantenere gli AC per il db)...

Modificherò il file textcode.sql per usare TEXT solo quando è necessario...

Sembra poca cosa ma utilizzare i giusti tipi di campo nel db ti permette di velocizzare tantissimo le query (usando comunque anche gli indici necessari )

Per usare mysqli, basta che aggiungo la "i" dopo ogni comando mysql()?

Non è proprio così semplice anche perchè mysqli fornisce un'interfaccia ad oggetti (oltre che procedurale) e io ti consiglio di usarla ovunque (AV+ funziona con mysqli ed i prepared statement; se altervista le supportasse avrei utilizzato anche le InnoDB con le chiavi esterne e le transazioni)

Dove trovo una guida sugli statement?

Per mysqli -> L'estensione MySQLi | Manuale di PHP
Per gli statement -> Interrogare database MySQL | Manuale di PHP

Grazie ;-)

E' stato un piacere, se hai bisogno sono quì.

[digilinux]

Purtroppo ancora c'è lo stesso problema :-(

Analizzando il campo text "rozzamente" compare questo: àèìÃ&s ... invece di àèìòù

[soulcanada]

Purtroppo ancora c'è lo stesso problema :-(

Analizzando il campo text "rozzamente" compare questo: àèìÃ&s ... invece di àèìòù

Ho la stessa cosa anch'io sul campo text, uso una collation utf8_unicode_ci quindi, dato che nel db abbiamo la stessa stringa, l'unica cosa che mi viene in mente è che tu non abbia inserito questo codice quando vai a fare la stampa del testo:

Codice PHP:

// prendo la stringa direttamente dal db,
// rimuovo gli slash
// decodifico le entità html
// e converto gli acapo di php in <br/>
$text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));


Se ancora non funziona accendete un cero perchè ci sono i fantasmi...

No anzi, con il link di prova che mi hai dato, ho impostato la codifica utf8 del mio browser (firefox) e tutto funziona...

[tdef]

Ho la stessa cosa anch'io sul campo text, uso una collation utf8_unicode_ci quindi, dato che nel db abbiamo la stessa stringa, l'unica cosa che mi viene in mente è che tu non abbia inserito questo codice quando vai a fare la stampa del testo:

Codice PHP:

// prendo la stringa direttamente dal db,
// rimuovo gli slash
// decodifico le entità html
// e converto gli acapo di php in <br/>
$text = nl2br(html_entity_decode(stripslashes(mysql_result($result,$i,"text"))));


Se ancora non funziona accendete un cero perchè ci sono i fantasmi...

Guarda lo fa anche a me e ho inserito tutto a UTF8 generic, a casa funziona qui no.

[digilinux]

evidentemente ci sono i fantasmi ;-)

In contemporanea alla risoluzione del bug degli accenti, mi piacerebbe inserire nella versione 2.0 anche la funzione che permetterebbe a Sharetext di potersi definire completo (e cominciare, così, la mia "campagna pubblicitaria", sperando in risultati), si tratta quella di poter caricare file ODT.
Ho trovato questa classe, http://odt2xhtml.eu.org/ ma non riesco ad utilizzarla... qualcuno sa adattarla in modo che metta l'html dentro il "solito" campo Text del database, e le immagini nella cartella propria dell'utente che effettua il download.
Qualcuno è in grado? Grazie mille ;-)

[digilinux]

Oggi apro ufficialmente il bando per trovare collaboratori per Sharetext.

Sono richieste buone conoscenze di PHP e MySQL.
Chiunque sia interessato, scriva a matrobriva(at)libero.it.

[digilinux]

Oggi Sharetext aggiunge nuove importanti funzionalità!

• Possibilità di caricare file HTML
• Possibilità di allegare file ZIP ai testi
• Possibilità di cambiare colori al proprio profilo

Spero che vi iscriviate!

[darbula]

Credo ché il problema delle accentate sia.. imputabile alla encoding ISO8859-1 di php (anche html per colpa del protocollo http1.1) su altervista, se non specificato diversamente tramite header.
Visto ché usi il database su utf-8, usalo pure da php. (specifica la connessione al database in utf-8, client è server).


Però resta il fatto ché con htmlspecialchars doveva convertire gli accenti in entità..devi dare una controllatina agli script.

ciao, il consignlio che ti do io, è simile a molti altri: Cura la grafica!

inserisci il tuo sito nella mia directory se vuoi! la trovi qua in basso ;)

[soulcanada]

Chissà se il progetto è ancora vivo, non mi sembra di vedere aggiornamenti da tempo ormai...