- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
ты прав, я сделал глупую ошибку в сообщение
и вообще я имел веду "Как запустить локальный сервер с база данными"
|
Исходник 🎈 Лучшая копия сайта Excellent, Frontend + Backend
- Автор темы merka1rugg
- Дата начала
и вообще я имел веду "Как запустить локальный сервер с база данными"
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
Если у вас есть какие-то проблемы, то пишите мне в тг @yes_vilovsky
Олдфаг
Олдфаг
- Статус
- Оффлайн
- Регистрация
- 27 Мар 2017
- Сообщения
- 2,476
- Реакции
- 1,792
1) SQLite: мне кажется, не очень подходит под прод, как минимум из-за однопоточности и блокировок. Больше двух человек на сайте и один из них либо ждёт пока база освободится (если настроено), либо получает BUSY_TIMEOUT и ошибку, при небольшой нагрузке такого конечно не будет, но потом придётся переходить.
2) Расширение SQLite в PHP: мне кажется стоит рассмотреть PDO, чтобы потом не пришлось переписывать всё под MySQL/PostgreSQL при переезде, в PDO просто драйвер меняется, а дамп и запросы можно просто адаптировать.
3) Хорошо, что используются подготовленные запросы, но не увидел защиты от XSS, она тут есть? (как и проверок на размер строк от пользователя)
4) Не во всех функциях есть проверки на успешность вставки (createAuthToken, например), если вставить строку в базу не выйдет, а пользователю скажет, что он зашёл, получится прикол.
Главный вопрос, почему используется localStorage и токен хранится там, а не в куках или сессии с httpOnly?
Ещё, передавать "success" в json необязательно, можно использовать HTTP-статусы (200, 401, 403 и тд)
Вообще можно было JS на >50% выпилить и сделать всё проще. Например, зачем нужен checkAuthStatus? Можно сделать index.php, туда закинуть сразу проверку токена + сделать токен в куки (он будет передаваться теперь автоматически браузером, без отправки через Fetch) и оттуда редиректить куда надо:
Logout делается теперь так же просто, переходим по ссылке (<a href="logout.php">), удаляем там куки, токен из базы и редиректим на index, всё.
Фронт особо не смотрел (как и вообще проект, напиши если что не так сказал), выглядит вроде неплохо, правда в некоторых местах немного кривовато (tab-indicator и карусель-слайдер)
2) Расширение SQLite в PHP: мне кажется стоит рассмотреть PDO, чтобы потом не пришлось переписывать всё под MySQL/PostgreSQL при переезде, в PDO просто драйвер меняется, а дамп и запросы можно просто адаптировать.
3) Хорошо, что используются подготовленные запросы, но не увидел защиты от XSS, она тут есть? (как и проверок на размер строк от пользователя)
4) Не во всех функциях есть проверки на успешность вставки (createAuthToken, например), если вставить строку в базу не выйдет, а пользователю скажет, что он зашёл, получится прикол.
Главный вопрос, почему используется localStorage и токен хранится там, а не в куках или сессии с httpOnly?
Ещё, передавать "success" в json необязательно, можно использовать HTTP-статусы (200, 401, 403 и тд)
Вообще можно было JS на >50% выпилить и сделать всё проще. Например, зачем нужен checkAuthStatus? Можно сделать index.php, туда закинуть сразу проверку токена + сделать токен в куки (он будет передаваться теперь автоматически браузером, без отправки через Fetch) и оттуда редиректить куда надо:
header("Location: auth.php"), если токен невалидный и отрисовка страницы, если с ним всё ок.Logout делается теперь так же просто, переходим по ссылке (<a href="logout.php">), удаляем там куки, токен из базы и редиректим на index, всё.
Фронт особо не смотрел (как и вообще проект, напиши если что не так сказал), выглядит вроде неплохо, правда в некоторых местах немного кривовато (tab-indicator и карусель-слайдер)
Не понял.
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
Благодарю, сегодня выпущу вторую версию. Уже работаю, над этим!
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
Можешь написать мне в тг пожалуйста, пару вопрос уточнить @yes_vilovsky
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 14 Янв 2025
- Сообщения
- 244
- Реакции
- 0
+rep
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
спасибо
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
з= \
Друзья, вот вам маленький гайдик как защитить себе бекенд часть на моей копии!
Защита, от XSS
2.
Вот и все.
Фронтенд хороший, бекенд я писал буквально на палках.
Друзья, вот вам маленький гайдик как защитить себе бекенд часть на моей копии!
Защита, от XSS
JavaScript:
function escapeHTML(text) {
return text.replace(/&/g, "&")
.replace(/</g, "<")
.replace(/>/g, ">")
.replace(/"/g, """)
.replace(/'/g, "'");
}2.
Код:
</script>
<script>
document.addEventListener('DOMContentLoaded', function() {
document.body.addEventListener('copy', function(e) {
e.preventDefault();
});
document.body.addEventListener('dragstart', function(e) {
e.preventDefault();
});
const checkScriptInjection = function() {
const suspiciousNames = ['jszip', 'clone', 'download', 'scrape', 'crawler'];
for (const name of suspiciousNames) {
if (window[name] || document.querySelector(`script[src*="${name}"]`)) {
console.error('Подозрительный скрипт обнаружен');
return true;
}
}
return false;
};
setInterval(checkScriptInjection, 1000);
});
</script>
</body>
</html>Вот и все.
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
Хоть оставляйте мнение своё я сижу жду...
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
спасибо
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
900 просмотров на теме я в шоке
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
Впервые под моим постом 1к просмотров!
- Статус
- Оффлайн
- Регистрация
- 4 Авг 2024
- Сообщения
- 132
- Реакции
- 4
1600 просмотров я в ахуе..