WN - 50lappen uppdaterad

WN (https://www.wn.se/forum/index.php)

- Feedback (https://www.wn.se/forum/forumdisplay.php?f=20)

- - 50lappen uppdaterad (https://www.wn.se/forum/showthread.php?t=1057333)

50lappen uppdaterad

Nu har vi genofört en större uppdatering både funktion och utseende mässigt.
Vad tror ni är vi påväg åt rätt håll?
Givetvis är det en bit kvar men vi har tagit ett stort kliv i varje fall.

Har inte testat några nya funktioner än men det ser i alla fall bra ut tycker jag. Enda jag tänkte på var att listen med tumme upp/er flyter ihop med övrig text. Tittar då med Internet explorer.

En super bra tjänst, den nya layouten ser mycket bättre ut. Lycka till.

Ser enkelt ut. Hade uppskattat lite mer "grafik" så man får en liten mer känsla av sidan än att den bara är lite färg som den är just nu. Dvs, skapa något på din sida som får mig att tänka här känner jag mig säker att handla typ.

När man köper och betalar en tjänst, så markeras den inte som betald, utan står som "väntar på bekräftelse"?

EDIT: strunt i det jag fattade nu att jag måste vänta på säljarens godkännande. Kanske förtydliga köpprocessen?

Hej.

Vi kommer att jobba på design och det grafiska.
Ja internet explorer ligger vi lite efter med men vi jobbar på det :) Tanken är att stödja IE8+.

Vi kollar omgående på "väntar på bekräftelse" -buggen.

Tack tack

Jag har suttit 10 minuter med din sida och redan hittat kritiska buggar.

Vem som helst kan läsa andras privata meddelande:

Kod:

$ curl -F "messageID=4566" http://w w w . 5 0 l a p p e n . s e/pages/messages/getMessageData.php

Nu på lördag!

Startar vi vår kampanj!



$ curl -F "messageID=4570" http://w w w . 5 0 l a p p e n . s e/pages/messages/getMessageData.php

Hej, det låter bra, men hur kan jag kontrollera att du lagt upp några länkar åt oss? Och att det är på bloggar som faktiskt har någon trafik?



Mvh

SQL injections finns lite överallt. T ex: http://w w w . 5 0 l a p p e n . s e...ckUsername.php samt nästan alla php filer som anropas från AJAX, getMessageData.php bland annat.

Här ser man att du varken filtrerar dina queries eller använder prepared statements:

Kod:

$ curl -F "username='" http://w w w . 5 0 l a p p e n . s e/pages/register/checkUsername.php

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1



$ curl -F "messageID='76" http://w w w . 5 0 l a p p e n . s e/pages/messages/getMessageData.php

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '76'' at line 1

Så länge det inte finns någon användare som heter "' OR 'x'='x" så borde detta returnera en 1:a, dock så får man tillbaka en 0:a för att den hittar alla användare:

Kod:

$ curl -F "username=' OR 'x'='x" http://w w w . 5 0 l a p p e n . s e/pages/register/checkUsername.php

0

Det hade gått att göra roligare saker med din databas, men det låter jag upp till dina utvecklare =)

Jag vill poängtera jag inte ändrat din databas, tagit hem någon information alls eller skadat sidan på något annat sätt. Mitt meddelande är menat som information till dig och upplysning till de som har ett konto på din sida.

Tycker om designen väldigt mycket. Kossan får mig att skina upp varje gång! Tänk på att filtrera allting du får in av användarna. När jag första gången anropade andra php-filer med ajax tänkte jag inte alls på att göra det där också, glöm inte det.

Tycker för övrigt att tjänsten är väldigt smart! Har du några planer på att utvidga det utöver 50-1000 kr ifall sidan blir större?

Bra Dimme! Jag har skällt på utvecklarna nu och kan meddela att vi skäms. Väldigt bra att du såg det.
Databasmässigt så krypteras pm mellan användarna.
Vi tackar och bockar för hjälpen.
Skicka dina kontaktuppgifter så kan du få bidra ytterligare med dina kunskaper, självfallet mot betalning.

Det lät bra Lennart. Ja vi har funderingar på att öka maxgränsen. Men vi har lite åtaganden vi måste lösa innan vi tar tag i den biten.

Citat:

Ursprungligen postat av Snabb (Inlägg 20466042)

Databasmässigt så krypteras pm mellan användarna.

Oj, vilken ypperligt bra idé, speciellt eftersom det inte finns NÅGON säkerhet på getMessageData.php som Dimme visade.

Läskigt är bara förnamnet.