Oldal: 1 / 3 123 UtolsóUtolsó
Eredmény: 1 - 10 (30) összesen

Téma: Nyílt forráskódú blogmotor iskoláknak

  1. #1
    Törzsvendég
    Csatlakozott
    07-11-27
    Hely
    Budapest
    Hozzászólás
    194
    Begyűjtött 5 köszönetet
    5 hozzászólásával

    Villanykörte Nyílt forráskódú blogmotor iskoláknak

    Elkészült a W3Suli iskolai keretrendszer V1.0 változata. Megtekinthető a w3suli.hu webhelyen, forráskódja letölthető a GitHub-on (github.com/gtportal/w3suli).

    Szabadon használható, módosítható...

    Az Egressy Gábor Szakközépiskola tanulói készítették szakkör keretében. Volt aki élete első PHP kódját már élesben írta. Ez meghatározta a szerkezetet is (egy tanuló - egy fájl, hagyományos PHP kódolással).

    A cél kettős:
    1. A tanulók valós feladaton keresztül ismerjék meg a webfejlesztést (PHP, MySQL, HTML, CSS)
    2. Az elkészült keretrendszert használó iskolák tanulói is megoszthassák élményeiket, hasznos információikat anélkül, hogy nem kívánt tartalmakat tehessenek közzé.

    A projekt nem fejeződött be. A V1.0 változatot teszteljük, ha kell (és miért ne kellene) javítjuk.
    A további ötletek/funkciók a V2.0-ba épülnek majd be.

    Megköszönök(nünk) minden ötletet és építő jellegű kritikát. Főleg a biztonsági kockázatok feltárása lenne számunkra fontos.
    Ha valakit érdekel a projekt szívesen látjuk a csapatban



  2. Az alábbi felhasználók hálásak a válaszért:

    Gregory Stone (2016-04-20)

  3. #2
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.744
    Begyűjtött 1.428 köszönetet
    892 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Idézet galt eredeti hozzászólása Hozzászólás megtekintése
    Főleg a biztonsági kockázatok feltárása lenne számunkra fontos.
    SQL injection-t azt kb 2 perc alatt talaltam benne



  4. Az alábbi felhasználók hálásak a válaszért:

    galt (2016-04-20)

  5. #3
    Törzsvendég
    Csatlakozott
    07-11-27
    Hely
    Budapest
    Hozzászólás
    194
    Begyűjtött 5 köszönetet
    5 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Köszönöm!
    A test_post($data) és a SQL_post($data) függvényeket használjuk megelőzésére, de lehet, hogy pár helyen lemaradtak. Átfésüljük a kódot.



  6. #4
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    1.030
    Begyűjtött 150 köszönetet
    109 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Hello,

    A kóddal kapcsolatban a következő problémáim vannak:
    - legalább valami template rendszer használata.
    - SQL INJECTION VÉDELEM !!!!! a jelenleg használt SQL_post függvény csak a hamis biztonság érzetett kelt.
    - SQL query builder.. Hogy a fejlesztők rá legyenek kényszerítve az sql injection védelem használatára.
    - A különböző csere függvények (pl BoldCsere) teljesen feleslegesek, vagy markup parser, vagy egy 1 soros regexp kifejezés.
    - Valamilyen ismert rendező elv használata
    - A php könyvtárban lévő file-ok ellenőrizzék, hogy direktben vannak-e hivva, vagy a rendszer töltötte be őket.
    - a függvényekben a global parancs használata..
    - Valamilyen autoloader mehanizmus, hogy ne töltösn be minden filet, amikor nincs is rá szükség.
    - konfig adatok külön file-ba szervezése.

    Ez az első 10 perc átnézésének eredménye. Szerintem a kódot szedjétek le githubról, mert rossz példát mutat, és remélem sehol nem fut élesben, mert komoly kockázata van.
    Az hogy iskolásként valaki élesben irja első php kódjait menő, csak rossz üzenete van.



  7. Az alábbi felhasználók hálásak a válaszért:

    galt (2016-04-20)

  8. #5
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.744
    Begyűjtött 1.428 köszönetet
    892 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Idézet galt eredeti hozzászólása Hozzászólás megtekintése
    Köszönöm!
    A test_post($data) és a SQL_post($data) függvényeket használjuk megelőzésére, de lehet, hogy pár helyen lemaradtak. Átfésüljük a kódot.
    Egy pelda: https://github.com/gtportal/w3suli/b.../Oldal.php#L73
    De az a ket fuggveny egyik se er sokat. mysqli_real_escape_string(string-eken, integer erteknel a typecast-olas a legjobb), vagy prepared statements biztonsagosabb.


    If debugging is the process of removing software bugs, then programming must be the process of putting them in.
    Ruby blog
    Give a man a fish and you feed him for a day. Teach a man to fish and you feed him for a lifetime.
    Respect all, fear none

  9. Az alábbi felhasználók hálásak a válaszért:

    galt (2016-04-20)

  10. #6
    Törzsvendég
    Csatlakozott
    07-11-27
    Hely
    Budapest
    Hozzászólás
    194
    Begyűjtött 5 köszönetet
    5 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Geri,
    köszönöm!

    A változó neve $tiszta_OURL, de valóban lemaradt az oda nem illő karakterek tisztogatása. Ezt végig kell néznünk.

    A saját munkákban rendre saját függvényt használok a bejövő adatok megtisztítására. Itt is ebbe az irányba fogunk elmenni. A felhasználói szinthez és funkcióhoz igazítva.

    TloF
    köszönöm!

    A nyitó hozzászólásban írtam, hogy a projekt egyik fontos célja PHP, MySQL, HTML, CSS ismeretek megszerzése. Emellett fontos nagyon fontos az érdeklődés felkeltése, hogy a diákoknak legyen kedve az informatikával egy kicsit mélyebben is megismerkedni.

    15-18 éves tanulókról beszélünk. Némelyik csak Pascal alapokkal felvértezte kezdte. Ez indokolja az egy tanuló - egy fájl most már ismert rendező elv használatát. Minden diák egy űrlappal indult, és a saját űrlapadatai feldolgozásával folytatta. Többen eljutottak az összetettebb kreatív feladatokig, de volt aki lemorzsolódott. Az a kérésem, hogy aki, Facebook helyett PHP-zott ne vegyük el a kedvét amiért a szakkör néhány hónapja alatt nem készített komplett WordPress-t.

    A BoldCsere valóban felesleges, de akkor a programozási tételek egy részének oktatása is az. Ott van pl. a max() függvény.

    A php könyvtárban lévő file-ok csupán függvényeket tartalmaznak, így nem jelentenek veszélyforrást.

    A fájlok betöltésénél valóban jó lenne figyelni, hogy melyikre van szükség. Ezt beépítjük.



  11. #7
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.744
    Begyűjtött 1.428 köszönetet
    892 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Idézet galt eredeti hozzászólása Hozzászólás megtekintése
    A saját munkákban rendre saját függvényt használok a bejövő adatok megtisztítására. Itt is ebbe az irányba fogunk elmenni. A felhasználói szinthez és funkcióhoz igazítva.
    Sajat fuggvenyt, ami meghiv par PHP fuggvenyt(pl stripslashes) Ehelyett kellene meghivni a mysqli_real_escape string-et.
    Egyebkent ne vedd sertesnek, de ha ilyen programozast tanulnak a gyerekek, akkor sose lesz beloluk normalis fejleszto. Legalabb valamilyen front controller-t vagy valami alap kodszervezest tanulhatnanak. Az egyszeruen megertheto, es nem a spagettikodolas vele viszi el oket.


    Utoljára módosítva: Geri által : 2016-04-20 19:28

  12. #8
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    1.030
    Begyűjtött 150 köszönetet
    109 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Galt: Nem a programozástól akarom elvenni a kedvét az embereknek, hanem attól, hogy gányoljanak. Ma vannak ennek a szép szakmának szabályai, egy jó részük irott, egy kisebb része iratlan. Neked mint tanárnak kellet volna választani egy egyszerü rendezési elvet, és azt végig vinni, és a gyerekek azt tanulták volna meg.

    Az, hogy most nincs a file-okban semmi, csak függvények szép dolog. Az első olyan megoldásig, amig valaki globálisan nem akar egy változót beállítani, nem akar valamit mindig lefutattani. Szintén azt mondom, hogy az elvi lehetőségét kell kezelni egy ilyen hibának, nem pedig azt, hogy pillanatnyilag nincs benne.

    Az érdeklődést pedig sok appró feladattal könnyebb felkelteni, amit mindenki az elejétől a végig csinál meg, hiszen az egyéni siker élmény, nem pedig a közöss masszához hozzáadott egyéni szin.



  13. #9
    Bölcs Vittore1982 logója
    Csatlakozott
    10-06-07
    Hozzászólás
    2.873
    Begyűjtött 1.411 köszönetet
    960 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Idézet Geri eredeti hozzászólása Hozzászólás megtekintése
    Sajat fuggvenyt, ami meghiv par PHP fuggvenyt(pl stripslashes) Ehelyett kellene meghivni a mysqli_real_escape string-et.
    Egyebkent ne vedd sertesnek, de ha ilyen programozast tanulnak a gyerekek, akkor sose lesz beloluk normalis fejleszto. Legalabb valamilyen front controller-t vagy valami alap kodszervezest tanulhatnanak. Az egyszeruen megertheto, es nem a spagettikodolas vele viszi el oket.
    Jó, de ne bántsuk a tanárokat, mert azért valljuk be, egy nettó 130-150 ezer forintot kereső tanár és egy nettó 500 ezret kereső kóder nem egy kategória. Egy ideális világban a tanárok is ekkora fizetést kapnának, s nem hagynák el a pályát, de ez nem egy ilyen világ.

    Mi 2001-ben érettségiztünk, s Turbo Pascalt tanultunk, ami szerintem már akkor sem volt sokra használható, OOP-ről nem is hallottunk. Aztán az osztály fele JAVA, .NET és C++ programozó lett, én speciel máig az egyik legkedvesebb tanáromként emlékszem vissza a programozás tanárunkra. Nem kell kész programozónak lenni 18 évesen, majd a főiskolán megtanulják az alapokat, vagy ha van eszük, akkor egy cégnél junior programozóként.

    A lényeg, hogy csapatként dolgoztak és élvezték, és ez marad meg bennük kellemes emlékként. Pont elegendő muníció lesz ez majd a való életben programozóként mindent az alapoktól kezdeni.



  14. Az alábbi felhasználók hálásak a válaszért:

    ferrari27 (2016-04-24)

  15. #10
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.815
    Begyűjtött 804 köszönetet
    572 hozzászólásával

    Alapbeállítás re: Nyílt forráskódú blogmotor iskoláknak

    Jó, de ne bántsuk a tanárokat, mert azért valljuk be, egy nettó 130-150 ezer forintot kereső tanár és egy nettó 500 ezret kereső kóder nem egy kategória. Egy ideális világban a tanárok is ekkora fizetést kapnának, s nem hagynák el a pályát, de ez nem egy ilyen világ.
    De bántsuk a .. akárki is készítette ezt! Megnéztem a repót és ordenáré gányolást találtam. Az veszélyes dolog, ha valaki nem törekedik alapvető kódsztenderdekre, vagy ahhoz segédkezik, hogy egyáltalán ilyen létrejöjjön. Én (clean code náciként) most azonnal berekeszteném ezt a projektet, megtanítanám a szakközepeseket programozni (nem barkácsolni), és esetleg később előhozakodnék valamivel, ami legalább MVC-re épül. Ez a kód menthetetlen kategória.

    szerk.: kicsit eljátszadoztam vele, hogy ebben a fájlban 60 másodperc alatt hány potenciális sebezhetőséget találok
    Oldal.php:256 SQL injekció
    Oldal.php:73 SQL injekció
    Oldal.php:170 DOM alapú XSS
    Oldal.php:278 SQL injekció
    Oldal.php:434 DOM alapú XSS

    Mivel tök felesleges lenne az egészet szétszedni, itt abba is hagynám. Írjátok meg nulláról, jobban!


    Utoljára módosítva: earnnet által : 2016-04-21 00:07

Oldal: 1 / 3 123 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •