Активацию аккаунтов через e-mail и вправду неплохо бы сделать, так как это есть наиболее верный способ проверки не только правильности написания e-mail адреса, но и его реальности и принадлежности вводящему данные.
Я проснулась. Сейчас займусь написанием. Из мыслей: при регистрации генерировать произвольную соль, которую обрабатывать md5 шифрованием, и записывать в базу данных, а пользователю mail функцией выслать письмо со ссылкой вида ?do=confirm&id=(int)&hash=(32 chars), и при переходе на неё давить проверку (Добавление)
Ещё придётся так же поля status добавить в таблицу users. (Добавление)
Champion, если ты читаешь это сообщение, значит пора проводить ещё один тест. В этот раз визуальных неурядиц может быть наименьшее число, и, быть может, на сервере наконец выключат волшебные палочки. Завтра (то есть сегодня) буду писать профиль, загрузку аватаров (с опцией заливкой шелла естественно ), и смогу потом спокойно дописывать урок.
Как говорил Мелкий, нужно добавить максимально возможные мессенджер-поля, а так же дополнительные поля для описания себя. Ну и пол, думаю, тоже стоит включить в перечень профайловых опций, чтобы все не выглядели бесполыми сущностями. Спасибо всем большое!! (Добавление)
Цитата:
Мысли такие: проверка адреса почты большого смысла не имеет(тавтология)
Зачем нужен адрес:
восстановление пароля
пересылка сообщений администрацией
спам.
Если нужен реальный адрес: регистрация через контрольное письмо,
если нет: забить на адрес.
Да, вы правы. Я соглашусь. Можно потом в админке написать блок кода, который будет взаимодействовать с контроллером, и выполнять поиск аккаунтов с одинаковыми адресами, а там уже чего-нибудь придумать.
Я уже думала в пользу этого OR запроса, но, понимаете, нужно как-то конкретизировать пользователю что именно занято в данный момент. Если логин, то сообщить ему об этом, а если эл. адрес, то, соответственно, сообщить, что занят адрес. В данном случае получается, что если применить такой запрос, то приходится выводить расплывчатое уведомление о том, что одно из двух занято. Конечно, это не такая уж и проблема, но...
Ch_chov, я написала о нём выше, и пока не исправила. Вывод списка пользователей в защищённой части - это временное решение, чтобы смотреть, кто зарегистрировался, а кто нет, поэтому написанию этого фрагмента уделила так мало внимания, в особенности с точки зрения безопасности. Сейчас поправлю.. (Добавление)
Итак:
Цитата:
Электронный адрес пропустила не правильный))
Цитата:
Попробуй исправь. Я уверен, в ней не хватает 2 символа.
^$ исправлено.
Цитата:
?do=bring_to_eat не работает. Я думал, мне поесть принесут, а там - ноль реакции.
if(strlen($user)< 3 ||strlen($user)> 15)die('Логин должен состоять не менее, чем из 3 символов, но не более, чем из 15!');
Цитата:
Про XSS забыла.
Исправлено.
Цитата:
Имя пользователя dfg'gh выводится со слешем.
После перезагрузки серверов хостера. (Добавление) Вопросы:
1. Вернуть проверку на занятость адреса эл. почты? (+1 запрос к базе при регистрации)
2. Вернуть возможность свободного никнейма, или оставить так, как есть сейчас? (а сейчас можно регистрировать ники состоящие из валидных символов, знака подчёркивания, и никаких русских букв)
3. Нужно сделать возможность просмотра профиля и, соответственно, дать возможность заполнять профиль различными данными. Каков будет минимум этих данных исходя из общих положений потребности в них? На мой взгляд: аватар (традиция), подпись, icq, что ещё??
Ты ведь недавно тему про безопасность поднимала) Там есть штука для включенных магических кавычек
Ну не нравится мне это выражение, не хочется добавлять такие функции. Исходя из того, что не у всех они включены, кавычки эти, да и нужно будет - выключат. Ведь можно сделать:
На сервере включены волшебные кавычки, а выключить пока не позволяют, у них он раз в день перезапускается.
Цитата:
Электронный адрес пропустила не правильный))
Регулярка плохая.
Цитата:
?do=bring_to_eat не работает. Я думал, мне поесть принесут, а там - ноль реакции.
Надо будет сделать там что-нибудь.
Цитата:
А еще я хочу загружать аву, музыку, видео и просматривать данные других пользователей, а не только их логины.
Хотела чат набросать, да пока с этими серверами возилась, не успела реализовать. Просмотр профиля точно будет, он как бы маст ниддэд.
Благодаря тебе заметила полу-XSS в выводе пользователей. С выводом поспешила там, нужно было в спешлчарс засунуть данные:
Это весьма странно. EuGen'а пустили, и меня пускает сейчас. (Добавление)
Под проксей проверила - не работает. Видимо, придётся подождать, пока не включат.