Hey,

Ik ben vrij nieuw met php, heb onlangs een portfolioCMS v1.1 te koop gezet in het marktplaatsforum, en dat was ook gelijk het 1e script dat ik heb bewerkt EN waar ik zelf iets bij heb gescript.

Het punt is dat ik php makkelijk kan lezen en bewerken, maar als ik het zelf moet schrijven, vanaf een blanco pagina, dan wordt het moeilijk.

Nu heb ik me best gedaan, en dat heeft zijn vruchten wel afgeworpen. Ik heb in 3 dagen tijd dit systeem gemaakt:

http://www.fastsystem.nl/login/index.php

Oorspronkelijk was het mijn bedoeling om een loginsysteem te maken, registreren, inloggen that's it. Maar dat lukte me aardig, en ik begon er een heleboel omheen te bouwen dat het meer op een profielensysteem begint te lijken.

Anyway! Dit is mijn 1e script dat volledig 100% door mij is gemaakt, en ik wil een paar tips hebben wat ik eraan kan veranderen, waar ik vooral op moet letten tijdens het scripten van php en of het systeem wat ik heb wel veilig is of niet. En mocht ik dit willen verkopen (dat is eigenlijk niet mijn hoofddoel geweest, maar stel dat ik het uiteindelijk wil verkopen) is er dan vraag naar?

Let niet zozeer op de layout, die wordt nog veranderd. Als je het wilt uitproberen kan dat:

Gebruikersnaam: demo
Wachtwoord: demo

Ook zou ik graag willen weten wat jullie vinden van de ?inloggen etc. Vinden jullie dit een handig en goed paginasysteem? (Ik vind het handig, want de enige template die ik nu heb is index.php als ik het wil veranderen).

Zou erg fijn zijn als er een paar mensen zouden zijn die me wat nuttige tips zouden kunnen geven, en het systeem even grondig kunnen bekijken!

Alvast bedankt

PS. Ik zoek geen hackers, dus ik geef je niet de vrijheid om lekker je gang te gaan en als er 1 lekje gevonden is de hele boel gelijk te slopen. Je mag natuurlijk wel lekken zoeken, en als die er zijn even doorgeven aan mij, maar geen misbruik maken van dat lekje..

Hoi, het is leuk gescript allemaal =)
Zoals je zei wilde je enkele puntjes hebben waar je evt. verbetering in zou willen:
- Als je bent ingelogd, dan staat er bovenaan ook 'beheer' alleen als je erop klikt, dan krijg je de melding dat je geen bevoegdheid hebt, dus ik zou dit alleen laten echo'en als je ook beheerder bent
- het ?inloggen enzo gebruiken veel sites, maar misschien is het seo vriendelijker als je gebruik maakt van mod_rewrite, en je kan voor zover ik weet door op jouw manier te werken nogal moeilijk een else doen voor als de pagina niet bestaat, daarom is het misschien makkelijker dan te doen ?pagina=inloggen, dan is dat makkelijk voor je in te stellen.
- Bij profiel voor te wijzigen moet je eerst nog je gebruikersnaam, wachtwoord, herhaalwachtwoord en email invullen, het is handiger dat je gebruikersnaam en email gewoon standaard ingevuld houdt, en dat je alleen je wachtwoord moet invullen bij wijzigen van je profiel, en dat daaronder 2 optionele velden komen voor nieuw wachtwoord en nieuw wachtwoord herhaling, verder zou ik bij profiel wijzigen voor de email een validator van de email invouwen (eregi/preg_match/wat jij wil) aangezien je als emailadres gewoon 'demo' kan invullen.

Verder is het wel redelijk gemaakt volgensmij, verder heb ik sql injection niet uitgeprobeerd.
owja, en of er vraag naar is, zoals je ziet in het marktplaatsforum zie je helemaal bovenaan al topic's van profielensites, dus als je het een stuk gebruiksvriendelijker nog maakt je systeem zal dat wel lukken=) succes nog

Jij gebruikt deze structuur
http://www.fastsystem.nl/login/index.php?PAGINA
wel wat is het nadeel nu?
stel dat ik http://www.fastsystem.nl/login/index..._SCRIPT_DAT_JE SITE_SLOOPT doe ligt dat systeempje van jouw snel plat.

Hey,

Bedankt voor de tips allemaal! Die urls verander ik met mod_rewrite, en dan is het toch een stuk veiliger lijkt me, want mensen kunnen niet zoiets doen zoals Glenn Vd. zegt?

Ik zal dat beheergedeelte veranderen, het is idd een beetje slordig dat dat te zien is..
Dat profiel zal ik ook eventjes aanpassen, thx voor de tips!

Nu kan de afwerking gebeuren van mijn script, ik ga even al deze punten langs en kijk wat ik eraan kan veranderen ;)

Meer tips zijn altijd welkom!

Origineel gepost door Glenn Vd.

Jij gebruikt deze structuur
http://www.fastsystem.nl/login/index.php?PAGINA
wel wat is het nadeel nu?
stel dat ik http://www.fastsystem.nl/login/index..._SCRIPT_DAT_JE SITE_SLOOPT doe ligt dat systeempje van jouw snel plat.

Dat hangt ervan af hoe je includescript in elkaar zit. Als jij een array hebt gemaakt met daarin alle mogelijke pagina's die kunnen opgevraagd worden vanaf je site kan je geen externe pagina's meer oproepen. Verder kun je ook nog met variabelen als $_SERVER['SCRIPT_FILENAME'] = "http://www.jouwwebsite.be " ook al een heel eind verder ;-)

Ik heb per $_GET een include gezet, dus $_GET['inloggen'] wordt vb include('login.php');

En nu zie je het toch niet meer, want http://www.fastsystem.nl/login/

Ik heb de urls met htaccess veranderd ;)

Waar zorgt die $_SERVER['SCRIPT_FILENAME'] = "http://www.jouwwebsite.be " voor?