![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Башеупячкодвач-3
May. 18th, 2009 02:23 pmПродолжаем тестирование движка (собственно).
Прошлое тестирование прошло крайне плодотворно, прибиты сотни багов. Самые толстые:
* Защита от sql-иньекции при удалении постов и комментов.
* Фильтр логинов (теперь логины могут содержать только латиницу, цифры и пробел, но суммарно не больше 20 символов).
* Улучшена фильтрация текста.
* Защита от xss в логине и пароле (хотя запихните-ка xss в 20 байт...)
* Блек-лист для зарезервированных логинов, таких как "admin".
Улучшения в админке:
* Управление постом сделано кнопками. Как-то это правильнее.
* Удаление комментов.
* Удобное управление идиотами в админке.
* Можно банить идиотов.
Алсо мелкие улучшения междумордия.
Накопленная база дропнута, начнём с белого листа.
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
nik_vr, твоя учётка оставлена с теми же данными.
UPD В ходе тестирования доделано следующее:
* Фильтрация ввода во всех sql-запросах (при тестировании найдено ещё несколько возможностей xss при отладочном выводе).
* 404 на неправильные параметры (не уверен, что во всех случаях).
* Логин только из пробелов запрещён.
* css-fix формы авторизации для IE.
* Защита от фальшивого POST при отправке данных. Не уверен, что везде.
+ В тестовом режиме - вики-тегирование. Как будет работать - хз, но мне интересно было написать простенький парсер.
Прошлое тестирование прошло крайне плодотворно, прибиты сотни багов. Самые толстые:
* Защита от sql-иньекции при удалении постов и комментов.
* Фильтр логинов (теперь логины могут содержать только латиницу, цифры и пробел, но суммарно не больше 20 символов).
* Улучшена фильтрация текста.
* Защита от xss в логине и пароле (хотя запихните-ка xss в 20 байт...)
* Блек-лист для зарезервированных логинов, таких как "admin".
Улучшения в админке:
* Управление постом сделано кнопками. Как-то это правильнее.
* Удаление комментов.
* Удобное управление идиотами в админке.
* Можно банить идиотов.
Алсо мелкие улучшения междумордия.
Накопленная база дропнута, начнём с белого листа.
nik_vr, твоя учётка оставлена с теми же данными.UPD В ходе тестирования доделано следующее:
* Фильтрация ввода во всех sql-запросах (при тестировании найдено ещё несколько возможностей xss при отладочном выводе).
* 404 на неправильные параметры (не уверен, что во всех случаях).
* Логин только из пробелов запрещён.
* css-fix формы авторизации для IE.
* Защита от фальшивого POST при отправке данных. Не уверен, что везде.
+ В тестовом режиме - вики-тегирование. Как будет работать - хз, но мне интересно было написать простенький парсер.
