Тестирование новой версии клубного сайта.

[Gan]

Предлагаю всем желающим принять участие в тестировании новой версии сайта 4x4typ.

Тестовая версия лежит здесь: http://www1.4x4typ.dn.ru

Основные изменения:

- Произошла интеграция с конференцией: теперь для входа на сайт действует пароль и логин от конференции.
- Фото-галерея интегрирована в сайт
- Изменился формат “Репортажей”
- Изменились личные странички,
- И так еще по мелочи ..

Планируется:
- Создание раздела спортивной статистики по всем мероприятиям клуба, включающего подсчет спортивных рейтингов.
- Интеграция магазина.

В силу технических причин в тестовой версии не будут видны фотографии из альбомов фото-галереи. Они появятся после переноса сайта в родной домен. В остальном, все должно работать.

Инструкция по работе с сайтом:
http://www1.4x4typ.dn.ru/reportag/rep-help.php

Прошу делится своим мнением по поводу:

- Обнаруженных Глюках, багах и.т.п.
- Функциональности сайта в целом
- Возможных доработоках, улучшенийях


Вот несколько вопросов с которых, можно начать обсуждение:

- Какую еще информацию можно было бы помещать на личные странички, может быть фото автомобиля?
- Следует ли выносить на главную страницу посты изо всех разделов конференции, или же ограничиться только главными (покатушки/экспедиции/соревнования)?
- Количество фотографий в отчетах и общая организация этого раздела

Заранее благодарен за помощь. Если серьезных проблем обнаружить не удастся, надеюсь запустить сайт в работу через 2-3 недели.

P.S. Замечания и пожелания по поводу дизайна и оформления пока принимать не готов. (всему свое время)

[DeXN]

Посмотрел сайт немного! Мне понравилось! Хороший дизайн, новые функции и т.д. Вот баги, которые я пока нашёл:

1) Нажимаю на кнопку "Добавить отчёт" и вижу:

Query failedYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1SELECT * FROM users WHERE id=

2) У тех пользователей, которые заливали свои аваторы на сайт, они не грузятся (к примеры я заливаю в конфе свою аваторы, захожу на новую версию сайта, и аватора не грузится)

3) В новой версии не хочет грузится аватора с компа, пишет ошибку в функции copy(); и в чём-то ещё(не помню)

4) Кликая через Оперу в новой версии на "Вход" выдаётся привыяная формочка для ввода логина и пароля и вот это:

777".$userdata['session_logged_in']; ?>

Вроде пока всё! Буду искать ещё!!!

[DeXN]

А, вот ещё что! Когда-то (месяца 2-3) назад проводил тестироватие неработающих ссылок (не только неработающих, но и реконструирующихся, с закрытым доступом и т.д.):

http://www.x-track.ru/
http://4x4club.kirov.ru/club_b.htm
http://www.sochi-medved.ru/club/main.html
http://www.gagarin44.ru/off
http://www.viko.ru/offroad/offroad_main.htm
http://www.diesel-trophy.ru/
http://www.niva.msk.ru/
http://www.rosroads.ru/ правильный адресс: http://rus-roads.ru
http://www.dimetra.ru/resources/usecar/
http://offclub.ru/
http://arctictrophy.polarcom.ru
http://www.sibmar.nm.ru/
http://www.derby.cis.ru/
http://www.lauravto.ru/
http://www.phantom4x4.ru/
http://www.terrano.spb.ru/
http://www.den.shatoon.ru/
http://www.4x4.tyumen.net/4x4/
http://traveller4x4.com/
http://www.soliton-saratov.ru:8080/elabur.htm
http://www.yashz.yaroslavl.ru/cgi-bin/prod.cgi?m=325
http://www.tyre.kirov.ru/K-139,K-151.html

[Гость]

а мне не понравилось.
очень мелко все стало-> лично у меня на работе полностью не умещается на экране (настоящая версия-все в порядке) -> приходиться пододвигать, а это не удобно.
всплывающие окна слишком широкие, либо меню очень мелкое...следствие наложение всплывающих окон друг на друга, причем с задержкой=плохо.

вход есть (в смысле авторизация), а выход где?

войти и проверить личные сообщения - очень удобная ссылочка, куда делась?-верните

[Gan]

Большое спасибо за помощь!

Отдельное спасибо DeXNу за список ссылок!
Новые адреса некоторых клубов удалось найти, остальные удалил: http://www1.4x4typ.dn.ru/catalog.php

Баги №1 (Добавить отчет) и № 4 (посторонняя надпись) устранены.

По поводу аваторов, я забыл предупредить. С ними та же проблема что и с фотками: пока сайт не будет перенесен в свой домен, и конфа с фото галереей не переедут туда же, эта проблема решиться. А пока нужно объявить мораторий на загрузку аваторов и фотографий в фотогаллерею через сайт.

По поводу замечаний Гостя:
Ссылки выход и войти и прочесть сообщения никуда не исчезли, они доступны через верхнее меню раздел "Аккаунт". После того как вы вошли, пункт "вход" меняется на "выход". А личные сообщения можно прочесть (и если потребуется войти на сайт) в разделе "Личные сообщения" в том же разделе меню.

По поводу остальных замечаний:
Напишите в каком разрешении и в каком браузере вы просматриваете сайт?

Я оптимизировал сайт под разрешение 1024x768 отмеченных проблем не замечаю. Возможно дело в браузере.

Жду новых замечаний и предложений

[ballast]

Антон, еще насчет ссылок: Клуб ГАЗ-66 переехал, новый адрес сайта http://www.gaz66.ru

[Лесник97]

Мне понравился - вот только одно НО - уж слишком глаз режет верхняя консоль, грубо и угловато перекрывает фоновый ресунок.

[Gan]

- Спасибо Игорь, ссылку поменял (ведь был на новом сайте а про ссылку сам не вспомнил ).

- Что касается верхнего меню, полностью согласен, но исправление этого момента я отложу до перерисовки дизайна.

Кстати, почему никто не регистрируется и не редактирует личные странички?
Хочу знать ваше мнение(пусть даже негативное) об этом разделе.

[Гость]

при регистрации:

Извините, этот адрес e-mail уже занят другим пользователем
Извините, пользователь с таким именем уже существует

это значит что я автоматически перерегестрирован на новом сайте со старого?

[Гость]

Гость это я Сашка55

[ballast]

Насколько я понял, если я в конфе зарегистрирован, то на новом сайте региться не надо, надо просто войти под старым ником и паролем. Так и сделал, пишет, что я - это я, правильно показывает профиль в конфе. При попытке войти в личную страничку выдает какую-то левую табличку с результатами соревнований и надписью "нет личной странички". Потом читаю инструкцию, перехожу к пункту 4 (как там написано) - пишет "вступление в клуб, согласны ли с регламентом" (да), потом выдает
"Чтобы получить доступ к личной страничке, зарегистрируйтесь как член клуба!
Query failed"
И далее по кругу

[Гость]

такая же ерунда, с утра мучилась, потом решила пойти поработать

зы. О!а сейчас пишу сообщение в нике указываю свой, а мне выдается *Извините, пользователь с таким именем уже существует*

Kerosinka/Kuzya

[nika]

Всё это конечно странно!!! Но у меня как то всё нормально! Первый раз вошла под своим ником и паролем,он всё запомнил и теперь всегда при каждом входе,автоматом я на сайте!!!!!
Может я что то не тоделаю?????

[nika]

Всё это конечно странно!!! Но у меня как то всё нормально! Первый раз вошла под своим ником и паролем,он всё запомнил и теперь всегда при каждом входе,автоматом я на сайте!!!!!
Может я что то не тоделаю?????

Ага вот что не так ; ФОТКИ НЕТУ!!!!!!

[DeXN]

Хотелось бы чтобы кавычка в SQL запросе фильтровалась и скрипт выдавал Query failed! А вот если мы пойдём сюда http://www1.4x4typ.dn.ru/reportag/view-raid.php?id=78' то увидим

Query failedYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' GROUP BY user_id ORDER BY pos' at line 1

[DeXN]

Ура, я нашёл ЧУМОВОЙ БАГ!!!! в добавлении отчётов!
Если написать ******** и добавить отчёт, то код выполниться!

Кстати этажа ошибка существует и в добавлении альбома
Evg: DeXN, имей совесть, для чего личка существует? Спамеры не спят!

[Valentin]

Не вижу кнопок "войти" и "выйти". Но почему-то нашел себя в числе он-лайн пользователей. Как - не понял. Регистрации не получилось.

[Gan]

Всем спасибо за помощь!
Отдельное спасибо DeXN

- Скрипты поправил.

- Глюк с регистрацией исправлен: "Query failed" - больше выскакивать не должно.

Напоминаю еще раз про схему регистрации:

1. Регистрироваться могут только пользователи имеющие аккаунт в конференции.

Не вижу кнопок "войти" и "выйти".

2. Зайдите на сайт и залогинтесь (верхнее меню , "Мой аккаунт", "Войти")

3. Вверху появиться надпись "для получения доступа к личной страничке зарегистрируйтесь ..." - кликайте по этой ссылке.

4. На страничке регистрация нажмите OK, заполните предложенную форму, кликните OK.

5. После этого дождитесь прихода по e-mail сообщения, о том что ваша запись активирована. Активация происходит вручную, так что этот процесс может занять некоторое время.

6. Зайдите в раздел о клубе и найдите там себя ...

Всем еще раз спасибо, с трепетом жду известий о новых страшных багах

[Gan]

При регистрации можно залифать свою фотографию, можно большую (до 300кб)

Лучше всего лить фото с рамером 640x480 или 800x600


Если фотка маленькая или квадратная может случиться
баг с изменением их размера (исправлю как смогу).

[Kerosinka/Kyzya]

а вот интересно, вчера у меня ...эээ, там где табличка по участию в соревнованиях было указано много того, где я не была вообще, например БТ всякие - причем на УАЗе, а сегодня только ПВД-4, хотя я на ВСЕХ ПВД была, и только на ниве вместе с Керосином

[Valentin]

Вроде все почти получилось. Только вот после регистрации все-таки выскачило 2 предупреждения и фотография не загружается.

"Warning: getimagesize(/www/site/4x4t/htdocs/faces/129.jpg): failed to open stream: No such file or directory in /www/site/4x4t/htdocs/engine/function.php on line 978

Warning: Division by zero in /www/site/4x4t/htdocs/engine/function.php on line 982
Cannot Initialize new GD image stream2"

[Gan]

Исправил загрузку фоток на личную страничку.
Сейчас должны корректно грузиться фотки любых размеров. Идеологически правильно грузить большие (800x600).

Часть фотографий пострадали при исправлениях (Kerosinka/Kyzya, Vintik ...)
При возможности попробуйте перегрузить.

Не забывайте указывать свой бортовой номер .

Почему никто не пробует выгрузить на сайт трек или разместить небольшой отчет?

[DeXN]

Ура! Тестовая версия сайта взломана! Об уязвимости напишу в личку Gan'у, скажу лишь, что с помощью её можно читать все файлы(в том числе и php скрипты), можно получить полный доступ к БД (добавлять, удалять таблицы и т д), а, так как много инфы хранится в БД - это серьёзно. Можно например легко стать админом конфы...

[Gan]

DeXN'у дикое спасибо!

Исправлено.

[DeXN]

Найдена ещё одна ошибка. Благодаря которой, при умелом использовании возможна кража куков пользователя.

[DeXN]

О! Нашёл ещё одну. Можно теперь любые отчёты править!

[Романыч]

щас попробовал изменить "мою страничку", добавил о себе, нажал "ИЗМЕНИТЬ", а мне - Query failed

и ещё, мона НИК поменять???

[DeXN]

Неопределена функция: http://www1.4x4typ.dn.ru/market/engine/top.php

[GarPis]

1.При просмотре фотогалереи с нового сайта вместо фоток только названия.
для сравнения зашел в свою галерею на старом сайте( все фотки видны) и на новом (часть фоток только в виде названия файла)
заходил по кнопочке "моя галерея"
попытался зайти в фотогалерею по кнопочке "пользовательские галереи", видны фотки только некоторых пользователей, мои фотки не видны (т.е. вообще, ни одной) система показывает кол-во альбомов и фотографий, но самих альбомов не отображает.
2. При нажатии "фотогалерея" => "список альбомов" на экране появляется список, вроде все как надо, НО если из этого режима выбрать любую строчку (кроме самой самой верхней) из падающих менюшек "фотогалерея" и "конференция", то возникает сообщение "NOT FOUND".....

[Gan]

Спасибо всем!

Вот работа над ошибками:

а вот интересно, вчера у меня ...эээ, там где табличка по участию в соревнованиях было указано много того, где я не была вообще, например БТ всякие - причем на УАЗе, а сегодня только ПВД-4, хотя я на ВСЕХ ПВД была, и только на ниве вместе с Керосином

- Это исправленно. Такой баг мог возникать у пользователей с еще не активированным аккаунтом.

- Дырки с редактированием отчетов, кражей куков, XXS в альбомах закрыты (кажется )

щас попробовал изменить "мою страничку", добавил о себе, нажал "ИЗМЕНИТЬ", а мне - Query failed

и ещё, мона НИК поменять???

- Это баг мне повторить не удалось. Возможно он случился в момент испраления какогото кода(в понедельник я как раз правил эту страничку). Если удастся повторить еще - пишите.

- Монжно, но не самостоятельно. Для замены ника напишите администратору (Мне, Главному, -, или Беляеву)

При просмотре фотогалереи с нового сайта вместо фоток только названия ...

- Это не баг а фича , см начало темы.

При нажатии "фотогалерея" => "список альбомов" на экране появляется список, вроде все как надо, НО если из этого режима выбрать любую строчку (кроме самой самой верхней) из падающих менюшек "фотогалерея" и "конференция", то возникает сообщение "NOT FOUND".....

- Игорь спасибо!
- исправленно.

Так же я перетряхнул дизайн странички "4x4 Клуб в лицах", и добавил bbcode в отчеты всместо html.

P.S. Приношу извинения за не слишком оперативные ответы.

[DeXN]

Найдена SQL-injection Думаю, что при умелом использовании возможен взлом сайта с кражей личных данных пользователей и заливкой web шелла с nobody правами.

[DeXN]

Можно добавлять отчёт от любого имени, для этого надо лишь поменять user_id пользователя!
http://www1.4x4typ.dn.ru/reportag/engin ... user_id=20

[Романыч]

щас зашёл на новый сайт, нажал "о клубе" и получил - Query failedSELECT * FROM users WHERE nic <> '' ORDER BY num,nic LIMIT -20,20

[DeXN]

Нашёл XSS в добавление альбома! Всё из-за того, что поле URL недостаточно хорошо фильтруется!

[Gan]

На выходных затер несколько свежих файлов в репортажах старыми.

Поэтому появился баг с XSS, и еще бог знает что может вылезти.

Надеюсь восстановить их в среду вечером. Поэтому прошу преостановить тестирование раздела репортажи до четверга.

[Gan]

- Репортажи исправленны, можно тестировать дальше. Помимо исправления найденых багов (XSS, SQL inj). Добвлена возможность использования bbcode в заголовке репортажа.

Так же сделал новый раздел "статьи". В нем предполагается размещать любую полезную и/или интересную информацию в виде ссылок или html файлов. Чтобы поместить свою статью на сайт - нужно прислать ее мне.

[Garik(26)]

Антон, проверил работу с разными браузерами, нормально работает с IE, с оперой проблемы с размещением окна (не ужимается оно в окно как в IE, приходится пользоваться прокруткой), в Мазиле совсем все грустно - весь дизайн на смарку. Впрочем это может и не столь важно, но...

[Garik(26)]

Антон с оперой все нормана, этоя сам глючу

[Gan]

Спасибо Игорь!

Поправил наиболее вопиющие ошбки: теперь нормально грузятся стили и работает java.

[Gan]

Давно не получаю сообщений про дырки.

Может быть пора запускать сайт в работу?

Что думает по этому поводу главный эксперт по безопасности?

[DeXN]

Вроде как все найденные баги устранены, поэтому думаю, что сайт звпускать в работу можно!!!

[Romik]

А конфа на новом сайте глючит пострашному
или это потом исправиться

Жду указаний по переводу

[Gan]

- Да конфа глючит. Я ее сейчас немного переделываю думаю за день - два закончу.

[Gan]

Ура!
Сайт переехал на постоянное место жительства.
Этот процесс не может не сопровождаться багами
так что жду писем.

Еще могут глючить флаги новых сообщений в конференции, так сейчас я вношу изменения в эту часть кода.

[Gan]

test

[Gan]

test

[Gan]

test5

[Романыч]

Попытались залить фотку в перс. страницу - получили
"Обновление БД ...

Ошибка при загрузке фотографии."

[Gan]

- Спасибо!

Кажется исправил.

[Заяц]

Из раздела фотогалереи о Юморине-06 и из "моей" галереи исчез мой альбом.