Bardzo podoba mi się interfejs oraz grafika lecz do kodu PHP mam parę zastrzeżeń:
- pisanie proceduralnym PHP przy tego typu projekcie to strzał sobie w stopę (tak samo jak wykorzystanie osCommerce w 2011 roku dla sklepów internetowych)
- brak rozbicia kodu na logikę i modele
- kod jest napisany po polsku, dla mnie to ograniczenie, szczególnie przy projektach open source
Sorry, ale CMS to nie fajny wygląd (bo usability słabe jest), ale przede wszystkim bezpieczeństwo, a wy pod tym względem totalnie leżycie. Jedna z gorszych realizacji, jakie miałem ostatnio okazję widzieć. Kto jeszcze trzyma dane w plikach?
Zresztą, nie ma się co dziwić, produkt rodzimy, a nasze firmy ostatnio chętnie praktykują tak zwane "głębokie ukrycie".
1. MD5 nie jest bezpieczne. Każdy bardziej zaawansowany programista czy ktoś zajmujący się bezpiczeństwem Ci to powie i wcale nie mówimy tu o transakcjach bankowych.
2. Plik nie był standardowy dla instalacji, standardowe to 0.ini i 97.ini. Nie jest problemem puścić skrypt, który będzie po kolei leciał i sprawdzał numery. Odnalezienie tego zajęło mi z 3 minuty.
3. I co z tego, że darmowy? Jest ogromny ruch open source, który
US-CERT of the U. S. Department of Homeland Security said MD5 "should be considered cryptographically broken and unsuitable for further use,"[9] and most U.S. government applications will be required to move to the SHA-2 family of hash functions after 2010.[10]
Md5 od dawna nie jest bezpieczny, jego złamanie nie stanowi wielkiego problemu. Nawet nie solisz tych hashy (pewnie nawet nie wiesz o co chodzi
Dobrze, że chociaż dostępne po zalogowaniu(nie wiem czy tylko dla adminów czy dla każdego zalogowanego użytkownika, bo nie mogę żadnego dodać), ale już sam fakt, że edytorem da się wleźć gdzie się chce...
Hasła można, by posolić(tak btw, dlaczego ini, który nawet nie jest ini, a nie baza?).
Takie coś:
fread (fopen($sctresc,r),filesize($sctresc));
robi się tak:
filegetcontents($sctresc)
Żeby strona nie sypała notice'ami wystarczy errorlevel(0)
@adam-czajkowski: No to nie ma co się ograniczać, Zrób CMS z kodem w jednym pliku i zamiast własnych funkcji używaj goto. Zawsze to jakaś ciekawostka by była, nie?
@krzat: Podeslij link do swojego CMSa, chętnie zobacze jak to robią mistrzowie :D to ze wszscy pisza na mysql i obiektowo to nie znaczy ze ja musiałem tak napisać :-) a tak na marginesie to portale pisze obiektowo :P
1. Nie zauważyłem żadnej dokumentacji w archiwum z CMSem. Brakuje porządnej dokumentacji w pliku txt lub html, gdzie byłaby cała funkcjonalność tego tworu.
2. Brakuje czegoś takiego jak instalacja CMSa. To jeden plik, a zdecydowanie uprościłoby to proces tworzenia strony opartej o ten system zarządzania treścią ("domyślne hasło to ........., zmień sobie użytkowniku po odpaleniu")
3. Cała baza jest w plikach, czego nie da się zmienić w
W podręczniku wkradł się mały błąd przy liście folderów, które potrzebują praw zapisu - podana jest ścieżka ./admin/images/wgrane/ (wraz z zawartością katalogu) a chodziło zapewne o /images/wgrane/
@arti040: Oczywiście i jest to bardzo proste w porównaniu do joomli WP i tego typu systemów :-)
http://www.vimeo.com/20329450 - pod tym linkiem jest 26 minutowy film w który pomazana jest instalacja konfiguracja oraz dodawanie takiego niestandardowego szablonu, niebawem wgramy więcej filmików bardziej szczegółowo opisujących system i jego obsługę.
Hej, na wstępie gratuluję :) bardzo miły dla oka. Mam jednak kilka uwag/pytań - systemu nie przeglądałem dokładnie, więc jeśli coś już jest a ja o to pytam - to wybacz. No więc:
- Modułowość? Czy można dopinać moduły realizujące różne funkcjonalności? (np. księga gości, newsletter, itp)
- Pluginy - poszerzanie funkcjonalności za pomocą wtyczek
- Uprawnienia - czy jest możliwość dynamicznego przydziału uprawnień (np do modułów)?
@mencio: Moduły można dopisywać w prosty sposób łaśnie pracujemy nad filmikami instruktazowymi, odnosnia erchiwizowania to wszystko sie archiwizuje totalnei wszystko poza plikami wykonawczymi systemu :-)
Komentarze (67)
najlepsze
- pisanie proceduralnym PHP przy tego typu projekcie to strzał sobie w stopę (tak samo jak wykorzystanie osCommerce w 2011 roku dla sklepów internetowych)
- brak rozbicia kodu na logikę i modele
- kod jest napisany po polsku, dla mnie to ograniczenie, szczególnie przy projektach open source
- brak kodu 404 dla nie istniejących stron np (http://www.windu.org/podstrony/3/)
Oraz http://www.antionline.com/archive/index.php/t-253367.html
Chyba potrzebujecie dobrego testera :)
Poza tym wykop, bo popieram dzielenie się kodem ze światem :)
Serio?
Sorry, ale CMS to nie fajny wygląd (bo usability słabe jest), ale przede wszystkim bezpieczeństwo, a wy pod tym względem totalnie leżycie. Jedna z gorszych realizacji, jakie miałem ostatnio okazję widzieć. Kto jeszcze trzyma dane w plikach?
Zresztą, nie ma się co dziwić, produkt rodzimy, a nasze firmy ostatnio chętnie praktykują tak zwane "głębokie ukrycie".
1. MD5 nie jest bezpieczne. Każdy bardziej zaawansowany programista czy ktoś zajmujący się bezpiczeństwem Ci to powie i wcale nie mówimy tu o transakcjach bankowych.
2. Plik nie był standardowy dla instalacji, standardowe to 0.ini i 97.ini. Nie jest problemem puścić skrypt, który będzie po kolei leciał i sprawdzał numery. Odnalezienie tego zajęło mi z 3 minuty.
3. I co z tego, że darmowy? Jest ogromny ruch open source, który
US-CERT of the U. S. Department of Homeland Security said MD5 "should be considered cryptographically broken and unsuitable for further use,"[9] and most U.S. government applications will be required to move to the SHA-2 family of hash functions after 2010.[10]
Md5 od dawna nie jest bezpieczny, jego złamanie nie stanowi wielkiego problemu. Nawet nie solisz tych hashy (pewnie nawet nie wiesz o co chodzi
Dobrze, że chociaż dostępne po zalogowaniu(nie wiem czy tylko dla adminów czy dla każdego zalogowanego użytkownika, bo nie mogę żadnego dodać), ale już sam fakt, że edytorem da się wleźć gdzie się chce...
Hasła można, by posolić(tak btw, dlaczego ini, który nawet nie jest ini, a nie baza?).
Takie coś:
fread (fopen($sctresc,r),filesize($sctresc));
robi się tak:
filegetcontents($sctresc)
Żeby strona nie sypała notice'ami wystarczy errorlevel(0)
1. Nie zauważyłem żadnej dokumentacji w archiwum z CMSem. Brakuje porządnej dokumentacji w pliku txt lub html, gdzie byłaby cała funkcjonalność tego tworu.
2. Brakuje czegoś takiego jak instalacja CMSa. To jeden plik, a zdecydowanie uprościłoby to proces tworzenia strony opartej o ten system zarządzania treścią ("domyślne hasło to ........., zmień sobie użytkowniku po odpaleniu")
3. Cała baza jest w plikach, czego nie da się zmienić w
System przyjemny dla oka, potestuję ;)
http://www.vimeo.com/20329450 - pod tym linkiem jest 26 minutowy film w który pomazana jest instalacja konfiguracja oraz dodawanie takiego niestandardowego szablonu, niebawem wgramy więcej filmików bardziej szczegółowo opisujących system i jego obsługę.
No to sie jutro pobawie :]
Komentarz usunięty przez moderatora
- Modułowość? Czy można dopinać moduły realizujące różne funkcjonalności? (np. księga gości, newsletter, itp)
- Pluginy - poszerzanie funkcjonalności za pomocą wtyczek
- Uprawnienia - czy jest możliwość dynamicznego przydziału uprawnień (np do modułów)?
- Czy schemat bazy oparty