Guestbook

hi,

wenn du hier im forum wirklich eine diskussion haben willst, dann solltest den quellcode innerhalb von phptags hier einfuegen.

gruss
kapitaeniglo

auf 1. Blick:
- basiert auf RG = on => schlecht
- keine Überprüfung der eingegebenen Daten => schlecht
- @ vor Datebank-Funktionen gesetzt, und somit Fehlermeldung unterdrückt, jedoch keine eigene, sinnvolle Fehlerabfangroutine => schlecht
wenn ich innerhalb einer Minute schon so viel schlechtes vorfinde, habe ich keine Lust mehr nachzuschauen. Also Gesamturteil: schlecht.

Nun ja das ist ja mal ne harte Antwort.

Hättest du aber genauer hingeschaut, würdest du sehen, dass die Kritikpunkte nicht alle richtig sind.

1. Die Daten werden überprüft. Leere Felder gehen nicht durch und ausserdem gibts auch nen einfachen Badwordfilter.

2. Das @ vor der Datenbankfunktion ist hier auch immer ein Streitpunkt. Ich habe das so gemacht, weil ein User ne einfache Meldung bekommen soll, wenn was ned geht. Ausserdem steht dieses @ in vielen Tuts hier drin. Kann also ned so schlecht sein.

Mit dem RG hast du recht. Wie kann ich das ändern?

Alles in allem hätte ich mir gewünscht, so was wie verbesserungswürdig zu lesen.

@kapitaeniglo

Ich habe hier eine Zip datei reingestellt, weil ich dachte einige würden es vielleicht ausprobieren. Ich diskutiere eh oft über die einzelnen Zeilen hier im Forum.

Nun ja ich will hier mein Skript nicht toll loben, ich möchte ja Kritik haben. das ist das erste Teil das ich alleine schreibe und ich mach PHP mal knapp n halbes Jahr. Aber etwas konstruktiver hätte ich es mir schon vorgestellt

Grüsse
Torsten

TorstenJer, es geht darum, dass dein Skript sehr leicht mit bestimmten befehlen gefüttert werden kann, dass dann z.B. die gesamte DB löscht....

benutz mal mysql_real_escpae_string

ich schiebe dich mal zur projekthilfe. denn fertig ist das GB ja augenscheinlich noch nicht und du suchst auch erst einmal nur tester.

*VERSCHIEB*

Ich kann dir nicht ganz folgen.

Ich denke ASP hat dir ziemlich konkret gesagt, was schlecht daran ist. wenns nichts zu loben gibt, wirds auch nicht gelobt. Außerdem ist es im sinne der sicherheit wohl besser, wenn man dich erstmal auf diverse fehler hinweist.

1. wenn man die sql-queries unerwünschter weise ändern kann, ist das wohl noch nicht ausreichend.

2. die tuts sind teilweise ziemlich alt und sicher nicht perfekt. generell solltest du die @s weglassen, da idr. keine fehler auftauchen sollten. und falls es sich nicht verhindern lässt, ist es völlig legitim die servermessage auszugeben. der fall sollte schließlich nur eintreten, wenn der server auch wirklich n problem hat, und nicht weil der user irgend ne falsche eingabe gemacht hat, womit wir wieder bei 1 wären.

3. dazu gibts genug threads und ein großes kapitel im manual.