אתם מוזמנים להכנס/לבדוק/לתת פידבק/להשחיט את האתר הבא:

http://aspspider.info/NuclearEnergy

אם לא בא לכם להרשם אז:

משתמש רגיל:

שם וסיסמא - web1

"המנהל": (כל האתר אצלי על המחשב ככה שאין בעיה אם תמחקו משתמש )

שם וסיסמא web

מי שרוצה לבדוק את הקוד/לגנוב ממנו אז הנה כל הדפים (בלי הDB והתמונות)

[attachment deleted by admin]

לדעתי כדאי שכל הבארים מצד ימין יהיו באורך שווה, ושהטקסט יהיה מיושר לצד ימין

קודם כל, האתר יפה מאוד.

כמה הצעות לשיפור:

1. תשנה את הרקע לרקע חלק. לדעתי זה יותר יפה.

2. הכפתורים נורא בולטים ע"ג רקע ולא נראים מסודרים.

תשקול אולי לעשות את כל הכפתורים באותו גודל ולעשות את הרווחים בינהם אחידים.

אחלה תודה , אשמח לשמוע יותר דעות לגבי הדפים עם הASPX , כי העיצוב זה לא משהו כזה חשוב

קודם כל, לגבי העיצוב - זה נראה זניח (ובשביל אתר לימודי זה באמת זניח ברמה הטכנית), אבל אתר שנראה טוב יעשה רושם יותר טוב על הבוחן. בשביל להצליח במבחן צריך לדעת את החומר, אבל צריך גם לדעת להבחן. לכן, לדעתי, רגע חלק, ישור התפריט לימין ורקע אחיד עליו יהיה אופטימלי.

לגבי הASPX:

תראה, אני לא מומחה גדול בכל הנושא של פרצות וכל זה. אבל (ואני אומר את זה בתור ביקורת בונה), אם הייתי בוחן, הדבר הראשון שהייתי שואל זה למה לעזאזל צריך את כל העניין של ההרשמה. כלומר, זה די חסר פואנטה (יכול להיות שזה מספיק לצורך העניין, אבל זה פשוט חסר פואנטה. ההרשמה לא נותנת כלום).

עוד דבר אחד, בשליחת מייל, למה השתמשת ב-mailto? אם כבר דוטנט, אז לעשות טופס שליחת אימייל נורמלי..

הממ אני לא יודע אם חשוב לך גם אלמנט האבטחה, אבל מסך הלוגאין פגיע ל SQL INJECTION, וגם השרת מקונפג להציג את הודעות השגיאה לכל העולם מה שעושה חיים מאוד קלים לתוקף.

גם אני לא מבין למה לאתר כזה צריך הרשמה ומועדון חברים , אבל זה חלק חובה מהבגרות אז..

ולגבי הפריצות שכחתי להוריד את הטאג של הDebug=true

הייתי גם משנה את הצבע של הקישורים(לינקים) שיש באתר בקושי רואים את הכתב - אבל זה היבט עיצובי

כמו שכבר נאמר אין מטרה ברורה להרשמה לאתר, תחשוב מה אתה היית רוצה לקבל בתור משהו שנרשם לאתר

"אנרגיה גרעינית - ליצור חשמל בישראל"

ניתן להצביע בסקר יותר מפעם אחת, אני הייתי נועל אותו לאחר שהצבעת פעם אחת ומראה רק את התוצאות

בזמנו גם אני עשיתי פרוייקט באינטרנט (יחידה אחת) בASP עשיתי שימוש באבטחה יחסית פשוטה (session לא שזה הכי טוב

אבל לסוג הפרוייקטים הללו זה מספיק) ככה שאם אתה יכול תאבטח את האתר עד כמה שניתן, תראה לבודק שיש לך כמה דפים מאובטחים

כלומר רק לנרשמים לאתר ולא לכל אחד אחר וכבר תקבל כמה נקודות על "ההשקעה" (ככה לפחות זה היה כשאני נגשתי)

האמת היא ששום דבר.. כל המידע נמסר כבר בHTML הרגיל, כל הקטע של ההרשמה וכל זה רק בשביל משרד החינוך שיהיה לו על מה לבדוק

כל הדפים של "מועדון החברים" מאובטחים על ידי Session , למנהל ולמשתמש רגיל , ואתה צודק לגבי הסקר , השאלה היא איך אני נועל אותו אחרי שמישהו כבר הצביע ? פותח עוד עמודה בDB ? נראה לי לא הגיוני ויעיל , אולי אפשר ע"י Session שאחרי שאתה מצביע הוא מעיף אותך אם אתה מנסה לעשות F5 , אבל עדיין זה לא תקף לתמיד..

הוספתי סוג של בדיקת תקינות קלט בlogin.htm (אצלי במחשב) שבודק בג'אווה סקריפט אם היוזר או הסיסמא מכילים תווים לא חוקים , אבל אפשר לבטל ג'אווה סקריפט ואז זה לא שווה כלום :-X

לגבי האינג'קשיין, יש כמה פקודות ב-SQL ובASP שמונעות את זה באופן מובנה, ויש פקדים שמסייעים לכך (פקדי ולידציה). אני כבר לא ממש זוכר איך משתמש בזה, אבל גוגל כן.

לגבי הסקר - הפתרון הכי הגיוני זה עוד עמודה בטבלה הרלוונטית. באופן אישי הייתי בונה טבלה נוספת לסקר שמכילה את המצביע והאופציה שבה הוא בחר וככה מונע את זה, במקום סתם מונה, כמו שבטח עשית את זה. זה דורש עוד קצת SQL ועבודה, אבל זה מונע הצבעות כפולות לחלוטין פחות או יותר.

אין צורך לבנות עוד טבלה של סקר, מספיק כמו שאמרת עמודה אחת לשם משתמש(או משהו יחודי אחר שיש למשתמש)

עמודה שנייה זה איזה אופציה הוא בחר.

אם הוא ירצה להוסיף עוד סקרים אז אכן ניתן לפרק את זה לשתי טבלאות, טבלת סקרים וטבלת סקרים-משתמשים

מה שיהיה משותף ביניהם זה קוד סקר(או משהו בסגנון)

עזוב sqli, יש סיבה מיוחדת לזה שכל משתמש יכול לראות את כל טבלת המשתמשים, שכוללת סיסמא, וכוללת את המנהל?

בכל מקרה, בכללי נראה נחמד, חורי אבטחה בכל פינה גם אם לא היית נותן לראות את הסיסמאות מלחתחילה.

כדאי לדאוג למשהו שישאיר את המשתמשים מחוברים, ולא יזיק לשפר קצת את המראה החיצוני.

בהצלחה.

תשמע , אני איש מקצוע ואני אשמח לתת לך חוות דעת אבל אני צריך לדעת מה חשוב לך באתר?

1. הנתונים?

2. אבטחת המידע?

3. העיצוב?

זה בסה"כ אתר לבגרות , לפי מספר השעות שהשקעתי בזה אני מניח שאני אקבל כבר 95

אשמח לקבל חוות דעת על הכל , בעיקר על הASPX , אם יש באגים כלשהם , אבטחת מידע חוץ מSESSION ובדיקת תוים לא חוקיים בjava script אני לא יודע כלום..

עידכנתי את האתר - הוספתי הרבה מאוד דברים:

- אפשר עכשיו לשנות שם משתמש

- אי אפשר להצביע בסקר יותר מפעם אחת (לתמיד)

- תיקנתי את הבאג של החיפוש (חיפוש מדויק לפי שנת לידה היה נותן שגיאה)

- שיפורים קטנים בטבלה של המשתמשים והעצומה

- בוטלה האפשרות של משתמש רגיל לראות את showall.aspx וגם בוטל <compilation debug="true"></compilation> בקונפיג

- הוספתי בדיקות תקינות קלט כמעט בכל השדות

- המנהל אם ירצה לעדכן את עצמו/אחרים לא יצטרך לאמת סיסמא או יוכל למחוק את עצמו

- משתמש רגיל יהיה חייב לאמת סיסמא אם ירצה לעדכן שדה כלשהו

זהו לפחות ממה שאני זוכר..

אגב מי שרוצה לראות את כל הקוד הנה:

http://aspspider.info/NuclearEnergy/nuclearsite.zip

אני אדבר רק על נושא האבטחה -

בדיקת חוקיות בצד המשתמש לא שווה כלום, כי המשתמש יכול לדלג עליה בקלות.

את כל הבדיקות בסגנון חובה לעשות בצד השרת.

(רק לשם הדוגמא, יש לך הזרקת SQL מהסוג הפשוט ביותר בהתחברות, לדוגמא, מה שאיפשר לי להכנס בלי לדעת את הסיסמא, ואני בטוח שגם ברוב (אם לא כל) השדות האחרים)

את בדיקת החוקיות של התווים תעשה בצד השרת, אני לא יודע מה קורה ב aspx, אני כן יודע שבPHP לדוגמא יש פונקציות מובנות לסינון.