Всем привет.
Написал такой сайт setin.ho.ua
Никакие фреймфорки не использовал.
Все писал вручную.
Хочу протестировать его на "дырявость".
Помогите пожалуйста найти дырки.

Дырки есть, исправляйте пока не появилось соблазм..   

Это сообщение отредактировал(а) Sanchezzz - 31.8.2013, 15:25

Расскажите про дырки. Сайт все равно на временном хостинге.

Таблица goods удалилась? 

Дырки в запросах.
Мне не понятно зачем числовой ID искать через like?   

Прочитайте на досуге о prepared statement в PDO или MYSQli от Sql-injection
Про xss тоже
Информация не закрытая и легко гуглится. 

Это сообщение отредактировал(а) Sanchezzz - 8.12.2013, 20:29

Таблица goods не удалилась. Я не помню какие там были товары. Кажется их стало меньше но не уверен.
Через like подставлять ID - старая привычка. Что бы можно было подставить %
Я знаю про инъекции, но у меня лично не получилось их применить. ПХП не пропускает больше одного запроса к базе за один раз.
с xss тоже ничего не получилось.
statement в PDO вообще не понял как можно применить.

Там ошибки валятся, сейчас все дорабатывается, или доломалось? 

Может сначада исследовать как и каким образом товары "пропали"?
 Дамп базы есть? Сравнить и проверить разрушения.
 Лог доступа (access.log) к сайту есть? Посмотреть и проверить странные GET'ы

Я ошибок не заметил. Основная часть работает как и задумано.
файл access.log не ведется
Товары не удалились.

включил access.log на хостинге

Аффтар, орфографию проверь. Чего только стоят "Поднятся", "Вещ", "Какая то"...

я конечно понимаю, что тема была "проверьте на уязвимости", но не могу не заметить

1. вам первый же SEO-шник скажет "иди в **** с твоим сайтом" потому что:
1.1. статичный title
1.2. отсутствуют ЧПУ
1.3. битые ссылки никак не обрабатываются
2. контент менеджер скажет "иди в **** со своим сайтом" потому что скорее всего нормального интерфейса для управления содержимым у вас нет (но тут не буду утверждать, может у вас реально админка есть где-то спрятана)
3. заказчик вам скажет "иди в **** со своим сайтом" потому что предыдущие два человека уже это сказали (если только вы сами не являетесь заказчиком)

я бы еще мог рассказать что скажет посетитель, но, думаю, лейт-мотив вы уловили.

это все к чему сказано. ни в коем случае не для того чтобы вас оскорбить, но вы просто потеряли время на изобретение велосипеда с квадратными колесами из ваты, хотя могли бы для начала изучить матчасть. пожалуйста, больше так не делайте. возьмите PrestaShop если вам хочется посмотреть как должны работать магазины, возьмите Wolf CMS если хотите посмотреть, как должен работать сайт как сущность. обе системы достаточно просты для понимания. даже не написав ни единой строчки кода, но почитав чужой хороший код, вы получите куда больше, чем если просто будете писать лишь бы писать.

Спасибо. Это был мой ПЕРВЫЙ функциональный сайт на пхп. ПЕРВЫЙ. И заказчик им до сих пор пользуется. Да есть недостатки, но свои функции он выполняет.
И что не маловажно размер кода сайта в десятки/сотни раз меньше чем у раскрученных бесплатных движков и ЦМС. Это же косается и времени отрабатывания кода на сервере.
Благодаря работе над этим сайтом я быстро освоил пхп. И сейчас работаю на крупную компанию. Как вы правильно заметили я поднял тему мифов об уязвимости сайтов, а не проверки орфографии и СЕО. Да на сайте есть админка, было бы странно если бы у динамического сайта ее небыло.
Надеюсь вам стало легче после того как вы высказались не по теме.

СЭНСЭЙ, Поздравляю так держать.