Springen naar inhoud


- - - - -

Website Testen


  • Log in a.u.b. om te beantwoorden
Er zijn 16 reacties in dit onderwerp

#1 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 07 april 2015 - 20:24

Dag Allemaal op dit forum!

Aanstaande zomervakantie gaan we met een groep vrienden naar Servië, waar vorig jaar een watersnoodramp heeft plaatsgevonden. Er is nog steeds er veel schade, en we willen daar graag gaan helpen met de wederopbouw.

Om deze reis te kunnen bekostigen zijn we verschillende acties aan het opzetten, waaronder een talentenveiling. Daarvoor heb ik een soort marktplaats website gemaakt.

Nu moet deze aanstaande zaterdag online komen, alleen heb ik nog niet veel testers voor deze website gevonden. Mochten jullie, als echte experts, zin en tijd hebben om mijn website kapot te maken, dan hoor ik het heel graag! haha.

Ik bedoel natuurlijk niet dat de boel gehackt moet worden. Er wordt gebruik gemaakt van hashes enzo, dat is veilig genoeg naar mijn zin. Het gaat meer om foutjes die er in zijn geslopen, waar ik zelf niet achter kom.

De website is: www.gjvmiddelharnis.nl/talentveiling. Op deze website staat ook meer informatie over wat de talentveiling precies inhoudt. Voor meer vragen, vraag gerust!

Voor degene die willen helpen, alvast ontzettend bedankt!

Groeten,
Thijs

Edit: Voor het goedkeuren van inzendingen is een beheerdersaccount nodig. De gegevens hiervan:
Gebr; Thijs
ww: thijs

#2 josk79

josk79

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 614 berichten
    Laatst bezocht 30 jan 2017 23:38

Geplaatst op 07 april 2015 - 22:06

Haha, dat zijn leuke uitdagingen.... proficiat met de site. Ik vind de layout wat saai, maar dat is persoonlijk

Eerste opmerking: Loginnaam is hoofdlettergevoelig, dat kan lastig zijn.

Tweede opmerking: Als ik zoek, wordt de resultatenpagina half over het menu getoond (chrome). Wellicht iets met <div> tags die niet goed gesloten worden ofzo?

Derde opmerking: Deze notice op de 'zoek' pagina, ik ben niet ingelogd:

A PHP Error was encountered

Severity: Notice
Message: Undefined variable: naam
Filename: controllers/marktplaats.php
Line Number: 54

Vierde opmerking: Alle velden zijn verplicht bij registratie, volgens de uitleg echter niet.

Eerste vulnerability: Ik kan ieders talent weggooien zonder in te loggen:

http://www.gjvmiddel...s/talenttoggle/vul_hier_de_hash_in

ik kijk nog even verder...

Marketing tip: Een 'delen op facebook'-knop bij iedere entry zou grotere populairiteit kunnen meebrengen, omdat de gebruikers hun talenten dan onder de aandacht kunnen brengen middels sociale media.

#3 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 07 april 2015 - 23:09

Ha Josk!

Allereest heel erg bedankt dat je er naar wilt kijken! Als je zo lang ergens mee bezig bent ga je bepaalde fouten en onlogische dingen over het hoofd zien.

Citeren

Eerste opmerking: Loginnaam is hoofdlettergevoelig, dat kan lastig zijn.
Derde opmerking: Deze notice op de 'zoek' pagina, ik ben niet ingelogd:
Jep, pas ik aan! 'naam'-foutmelding heeft inderdaad met het niet inloggen temaken.

Citeren

Tweede opmerking: Als ik zoek, wordt de resultatenpagina half over het menu getoond (chrome). Wellicht iets met <div> tags die niet goed gesloten worden ofzo?
Had ik inderdaad gezien, weet nog niet goed hoe dit komt, maar ga ik nog wel eens naar op zoek!

Citeren

Vierde opmerking: Alle velden zijn verplicht bij registratie, volgens de uitleg echter niet.
Inderdaad over het hoofd gezien! Scherp. Dat was eerst de bedoeling maar ik ga alles verplichten.

Citeren

Eerste vulnerability: Ik kan ieders talent weggooien zonder in te loggen:

http://www.gjvmiddel...s/talenttoggle/vul_hier_de_hash_in
Inderdaad waar! En zo zijn er misschien nog wel een paar methodes. Ga ik een id-check op zetten. Vraag me af hoeveel uiteindeljke gebruikers er daadwerkelijk achter hashes en methodes gaan kijken, maar hij zal er maar net tussen zitten ;)

Citeren

Leuk idee! Zal eens googelen hoe dat in z''n werk gaat. Helemaal nog niet aan gedacht.

In ieder geval bedankt! Mocht je toevallig nog meer tegen komen hoor ik het natuurlijk graag ;)

Groeten!

PS: De layout is inderdaad erg saai, ben ik met je eens. Aan de andere kant ook wel weer rustig, dat vind ik wel positief. De reden dat 'ie zo saai is, is dat ik vreselijk ben met html/css haha ;p

#4 ArComAr

ArComAr

    VBIB Godfather

  • Leden
  • PipPipPipPipPipPipPipPip
  • 3788 berichten
    Laatst bezocht 04 mei 2018 13:52

Geplaatst op 08 april 2015 - 09:12

Eventueel op je hoofdpagina wanneer je op de titels (bvb Actief, tuinieren, ...) klikt, dat je door gelinked word naar de categorie pagina van dat type.

En iets met het cachen van die images zou ook leuk zijn. ik zie nu dat ze elke keer opnieuw worden ingeladen.

#5 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 08 april 2015 - 10:58

Bedankt ArComAr, heb je eerste suggestie in ieder geval verwerkt. Tweede suggestie wordt denk ik wat lastiger, wel terecht dat je het opmerkt. Ik weet niet zo heel goed hoe dat werkt, en heb niet bijzonder veel tijd om het uit te zoeken. Maar misschien komt er nog van ;)

Opmerkingen van Josk zijn ook verwerkt, behalve 't <div> probleem bij zoeken.

Bedankt beide!

#6 RedThread

RedThread

    Beheerder VBIB

  • Beheerder
  • 3590 berichten
    Laatst bezocht 14 jul 2018 15:51
  • LocatieTongeren,Belgium.
Inzender

Geplaatst op 08 april 2015 - 12:46

Ook handig :


http://validator.w3....=Inline&group=0

#7 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 08 april 2015 - 14:08

Oei, dat zijn nog wel een paar foutjes ja haha. Dank RedThread ;)

#8 josk79

josk79

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 614 berichten
    Laatst bezocht 30 jan 2017 23:38

Geplaatst op 08 april 2015 - 19:25

Gebruikers kunnen javascript injecteren in de teksten. Kijk maar op je beheerder pagina, als je Shakira fan bent. Iemand anders had dit ook al geprobeerd zag ik, want bij een van de talenten wordt 'spammmm' getoond in een popup.

#9 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 08 april 2015 - 21:16

Ja ik zag dat je had geprobeert iets toe te voegen, dus ik heb zelf de 'spammmm' toegevoegd, is inderdaad lek! Ik kan bij het toevoegen van een tekst aan de database controleren of er geen < / > tekens in staan.
Tnx!

PS: Haha leuke actie, ben alleen niet acht fan ;p

#10 ArComAr

ArComAr

    VBIB Godfather

  • Leden
  • PipPipPipPipPipPipPipPip
  • 3788 berichten
    Laatst bezocht 04 mei 2018 13:52

Geplaatst op 09 april 2015 - 11:09

Een talent sluiten lukt ook niet. Je krijgt dan heel kort een php error te zien en de aanvraag blijft gewoon openstaan.

Je krijgt dan een undefined variable aanvraag op lijn 434 van marktplaats.php, gevolgd door een error "trying to get property of non-object" op diezelfde lijn. vermoedelijk gerelateerd aan elkaar.

Iets gelijkaardigs gebeurt bij een aanvraag afkeuren

#11 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 10 april 2015 - 11:00

Bij welke talenten/aanvragen had je dit ArComAr? Bij mij werkt het namelijk wel gewoon volgens mij!
Heb je tegelijk iets gedaan wat de session-coockies aangepast zou kunnen hebben?

#12 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 10 april 2015 - 12:37

Ik heb de </> tekens verboden in input velden. Als het goed is zou injection nu niet meer mogelijk moeten zijn.

@ArComAr, talentsluit probleem is opgelost. Tnx voor het melden

Veranderd door thijs, 10 april 2015 - 12:55.


#13 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 10 april 2015 - 13:38

Email voorkeurinstelling toegevoegd, vereist een nieuwe kolom in de database, dus die moest ik opnieuw maken. Jullie hack-berichten zijn dus verdwenen. Ik denk dat hij zo aardig dicht is, maar
natuurlijk nodig ik jullie uit om nog even verder te gaan! ;)

PS: Morgen moet de website officieel online. Het zal dan niet meteen storm lopen maar wellicht is het slim om dan niet meer hard te hacken enzo :)

#14 ArComAr

ArComAr

    VBIB Godfather

  • Leden
  • PipPipPipPipPipPipPipPip
  • 3788 berichten
    Laatst bezocht 04 mei 2018 13:52

Geplaatst op 10 april 2015 - 13:44

Ik vind het persoonlijk altijd handig om een backup te hebben waarop ik kan testen voor het live te zetten. Bij elk project dat ik doe, zorg ik dat ik een apart subdomein heb waar ik eerst alles test en laat testen door anderen voor ik het overzet naar de live site.

bij de meeste hosting packetten kun je trouwens zo'n subdomeinnamen makkelijk instellen. Je moet dan enkel wat configuratie voorzien om naar een 2de database te verwijzen indien je op dat subdomein zit.

Btw, zie net dat je bij categorieën een image (helemaal bovenaan) hebt die niet gevonden kan worden

#15 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 10 april 2015 - 13:47

Dat klinkt inderdaad handig. Momenteel maak ik gebruik van een UwAmp server zodat ik'm lokaal kan laten draaien. Nadeel is dan natuurlijk dat anderen er niet op kunnen, en bijvoorbeeld de mailserver niet werkt.
Maar voor de volgende keer, wellicht een goed idee!

In ieder geval bedankt voor de hulp allemaal!

#16 thijs

thijs

    Master Developer

  • Leden
  • PipPipPipPipPip
  • 539 berichten
    Laatst bezocht 19 sep 2016 20:53
  • LocatieOude Tonge

Geplaatst op 10 april 2015 - 13:50

Ik heb deze website overigens met CodeIgniter gemaakt. Vorig jaar heb ik een jaar informatica gestudeerd en heb er zo mee leren werken. Ik vind het persoonlijk wel prima werken! Hebben jullie er wel eens mee gewerkt? En wat zijn julie ervaringen?

#17 ArComAr

ArComAr

    VBIB Godfather

  • Leden
  • PipPipPipPipPipPipPipPip
  • 3788 berichten
    Laatst bezocht 04 mei 2018 13:52

Geplaatst op 13 april 2015 - 14:38

Ik heb een aantal websites draaien met codeigniter, en is zeker een goed PHP framework. Hoewel een restfull API server maken niet meteen makkelijk is. Zo goed als alles dat met ajax te maken heeft, en er daarna nog een security laag op draaien vraagt wel een hoop aanpassingen.

Btw, bekijk eens de form validation class van codeigniter. Als je je input met xssclean laat valideren, dan hoef je je geen zorgen te maken over script tags en dergelijke. Automatisch worden alle vuile karakters en combinaties er uit gehaald voor ze in je database terecht komen.

Nadeel van codigniter is dan weer dat het het niet zo nauw neemt met het MVC pattern. Uw model is niet meteen een model en meer data layer, maar goed dat zijn andere discussies.

Maar verder laat het je wel toe veel te configureren om bvb cross-side scriting keys te genereren en deze dan van naamgeving juist te zetten zodat een angular of iets dergelijks daar fatsoenlijk mee samen werkt.

Ook een leuk nieuwtje dat ik net zie: codeigniter 3.0 is sinds vrijdag gereleased.


En misschien nog een 2 laatste gekke opmerking:
Als je uw profiel opslaat krijg je deze url; http://www.gjvmiddel...eren/editSubmit
In theorie ben je niet aan het registreren. De naam van je controller is dus eigenlijk verkeerd. Je zou beter je controller Profiel of iets dergelijks noemen omdat het alle informatie rondom een profiel kan raadplegen. Registereren is meer een actie van een profiel

En last but not least: zou je je pw niet veranderen nu dat iedereen het hier kan vinden ;)




0 gebruiker(s) lezen dit onderwerp

0 lid(leden), 0 bezoeker(s), 0 anonieme gebruikers

Inloggen


Untitled 1

Met dank aan Jürgen voor de jarenlange inzet van visualbasic.be (anno dec 2000)
Met dank aan Mike en Ronneke voor de jarenlange inzet van vbib.be (anno dec 2010)
Met dank aan PascalBianca voor de jarenlange inzet van vbib.be (anno dec 2016)