Nova web CMS [Презентация]

[Lorn]

Если замок под контролем NPC, то отсутствует строка лидера. Как результат, смещаются нижние строки

[Dementor]

Lorn, спасибо, поправлю.

[shegan]

TL;DR:

Свернуть ↑ Все очень плохо

Свернуть ↑Развернуть ↓

Идем по ссылке http://d2on.ru/handler.php?ismod=true&m=lol, получаем :

Код:

Notice: Undefined variable: html in C:\www\d2on\www\handler.php on line 30

То же самое и здесь, кстати http://www.nova-cms.ru/demo/handler....=true&m=asdasd

Отдаем голос в голосовании, ловим УРЛ http://d2on.ru/handler.php?ismod=true&m=poll&id=1
(опустим глаза, что он GET, а не POST)
Меняем 1 на очень большое число (MAX_INT<), идем по ссылке http://d2on.ru/handler.php?ismod=tru...00000000000000, получаем:

Код:

{"result":{"error":"DataBase SQL error :SQLSTATE[22003]: Numeric value out of range: 1264 Out of range value for column 'var_id' at row 1"}}

Идем на страницу http://d2on.ru/index.php?m=page&name=rules&lang=ru
Меняем язык на "en" - получаем 404, что, в принципе, разумно.
Меняем язык на "qwe" - нас кидает на страницу ru, без редиректа, в урле так же "lang=qwe".
Мне страшно подумать, как это под капотом работает.

Очень жду сервера Lineage, который будет использовать Ваш продукт. Мне так нравятся POST параметры, которые не очень эскейпятся в коде.
А вообще спасибо, вернули мой 2007.

[Dementor]

Цитата:

Сообщение от shegan

TL;DR:

Свернуть ↑ Все очень плохо

Свернуть ↑Развернуть ↓

Идем по ссылке http://d2on.ru/handler.php?ismod=true&m=lol, получаем :

Код:

Notice: Undefined variable: html in C:\www\d2on\www\handler.php on line 30

То же самое и здесь, кстати http://www.nova-cms.ru/demo/handler....=true&m=asdasd

Отдаем голос в голосовании, ловим УРЛ http://d2on.ru/handler.php?ismod=true&m=poll&id=1
(опустим глаза, что он GET, а не POST)
Меняем 1 на очень большое число (MAX_INT<), идем по ссылке http://d2on.ru/handler.php?ismod=tru...00000000000000, получаем:

Код:

{"result":{"error":"DataBase SQL error :SQLSTATE[22003]: Numeric value out of range: 1264 Out of range value for column 'var_id' at row 1"}}

Идем на страницу http://d2on.ru/index.php?m=page&name=rules&lang=ru
Меняем язык на "en" - получаем 404, что, в принципе, разумно.
Меняем язык на "qwe" - нас кидает на страницу ru, без редиректа, в урле так же "lang=qwe".
Мне страшно подумать, как это под капотом работает.

Очень жду сервера Lineage, который будет использовать Ваш продукт. Мне так нравятся POST параметры, которые не очень эскейпятся в коде.
А вообще спасибо, вернули мой 2007.

Там стоит не обновленная версия. Много чего из того, что Вы проверяли нет уже. Я кинул демо версию ссылки, проверяйте лучше там. Да и это быстро фиксится. К примеру где он html переменню найти не может: это скрипты, которые возвращают просто данные к JS, но обработчик пытается найти переменную шаблона чтобы ее обработать, мне просто надо было $html = ''; поставить. Просто забыл воткнуть ее туда =) Это нормально, поправим. Да и вобще поддержка для клиентов у меня приватная, так что боятся не стоит, я очень быстро исправлять буду все на месте.

Добавлено через 7 минут
Про "ismod=true&m=lol" - конечно, вы можете отправлять туда что угодно, это запросы от пользователя, я же не буду фильтровать все. Конечно я поставлю заглушку туда, но даже без нее это Вам ничего не даст. На самой цмс такого не будет, если Вы не будите использовать какие-то свои модификации неправильные.

Про большое число - тоже самое, единственное MySQL ошибки можно отключить выводя их в лог. Там они включены, так как версия не обновленная и включена опция вывода. Опять же ничего не дает. Варианта с таким идом не будет.


Про страницы там как-раз все нормально.
Меняем язык на "en" - получаем 404, что, в принципе, разумно. - потому-что страница создана только на русском языке. Локализацией никто еще не занимался, работы куча еще по серверу.

Меняем язык на "qwe" - нас кидает на страницу ru, без редиректа, в урле так же "lang=qwe". - а зачем редиректить, если неправильно задан открываем язык по умолчанию. Разве пользователь будет руками там лазеть? даже если будет, пусть лазеет. Вы можете что угодно отдавать туда, Вам это ничего не даст.

[shegan]

И Вы до сих пор считаете, что за это стоит брать деньги?
Это не опечатки, не рандомные ошибки, а концептуальные и фундаментальные.
Если разработчик допускает такое, да ещё и хочет за это денег - нужно подумать ещё, стоит ли использовать этот продукт, да ещё и за деньги.
Имхо, будь я с таким продуктом на руках, да ещё и с такими косяками - выложил бы сорцы куда-нибудь, чтобы получить конструктивную критику.
Естественно, Вас возмутит моё предложение, ведь столько времени потрачено.
Вот только знания и навыки стоят не денег, а именно времени, времени и упорства.
Время Вы потратили, а вот упорства - не заметил.

Я могу продолжить анализ Вашей работы, возьмем ту же "модульность" - тихий ужас же.
Работать-то оно, может, работает, но как это выглядит.

[Donatte]

Цитата:

Сообщение от Dementor

Там стоит не обновленная версия. Много чего из того, что Вы проверяли нет уже. Я кинул демо версию ссылки, проверяйте лучше там. Да и это быстро фиксится. К примеру где он html переменню найти не может: это скрипты, которые возвращают просто данные к JS, но обработчик пытается найти переменную шаблона чтобы ее обработать, мне просто надо было $html = ''; поставить. Просто забыл воткнуть ее туда =) Это нормально, поправим. Да и вобще поддержка для клиентов у меня приватная, так что боятся не стоит, я очень быстро исправлять буду все на месте.

Добавлено через 7 минут
Про "ismod=true&m=lol" - конечно, вы можете отправлять туда что угодно, это запросы от пользователя, я же не буду фильтровать все. Конечно я поставлю заглушку туда, но даже без нее это Вам ничего не даст. На самой цмс такого не будет, если Вы не будите использовать какие-то свои модификации неправильные.

Про большое число - тоже самое, единственное MySQL ошибки можно отключить выводя их в лог. Там они включены, так как версия не обновленная и включена опция вывода. Опять же ничего не дает. Варианта с таким идом не будет.


Про страницы там как-раз все нормально.
Меняем язык на "en" - получаем 404, что, в принципе, разумно. - потому-что страница создана только на русском языке. Локализацией никто еще не занимался, работы куча еще по серверу.

Меняем язык на "qwe" - нас кидает на страницу ru, без редиректа, в урле так же "lang=qwe". - а зачем редиректить, если неправильно задан открываем язык по умолчанию. Разве пользователь будет руками там лазеть? даже если будет, пусть лазеет. Вы можете что угодно отдавать туда, Вам это ничего не даст.

Отключите все фильтры переменных - легитимный пользователь никогда не введёт ненужного.

С таким отношением к работе вам только вагоны разгружать. Sad story.

[Dementor]

Цитата:

Сообщение от Donatte

Отключите все фильтры переменных - легитимный пользователь никогда не введёт ненужного.

фильтры стоят. Я не это имел ввиду.


shegan, а что Вы хотели? Давайте расскажите нам, что если бы это писали Вы, у Вас все было бы ошибок и косяков, учитывая то, что Ваш продукт не обкатывали. Я еще раз повторюсь, клиент в любом случае получит сразу все исправления, которые будут замечены. В этом проблема абсолютно не стоит.

[G1ta0]

Цитата:

Сообщение от Dementor

shegan, а что Вы хотели? Давайте расскажите нам, что если бы это писали Вы, у Вас все было бы ошибок и косяков, учитывая то, что Ваш продукт не обкатывали.

Не понимаю тогда одного, зачем врываться сразу с ценой? Если продукт косячный и нигде не стоял, Вы хотите чтобы клиенты тестили за свои же деньги?

[shegan]

Цитата:

shegan, а что Вы хотели? Давайте расскажите нам, что если бы это писали Вы, у Вас все было бы ошибок и косяков, учитывая то, что Ваш продукт не обкатывали. Я еще раз повторюсь, клиент в любом случае получит сразу все исправления, которые будут замечены. В этом проблема абсолютно не стоит.

Смотрите какая штука.
Модель "находятся косяки - я в приватной поддержке их принимаю, и исправляю" - такая модель устроит клиентов таких проектов, как те же эмуляторы Lineage2.
Почему? Потому что идеальных эмуляторов нет, кто-то берет какую-то версию эмулятора и исправляет её. Исправляет ЧУЖИЕ ошибки, по сути. И со временем получается конкурентно-способный проект на рынке, т.к. в других эмуляторах эти ошибки могут быть не исправлены, а базироваться оба проекта могут на каком-то одном эмуляторе.

Когда же Вы презентуете проект, который написан с нуля, написан в 2015 году, написан на PHP - клиентам нужны киллерфичи, чтобы можно было просто взять и выкинуть всякие ghtweb и прочие (ничего против не имею, упаси Боже).
Зачем кому-то нужно поддерживать Ваш проект, чтобы Вы исправляли ошибки, которые сами допускаете?

Ошибки могут быть у всех. Повторюсь - можно сделать опечатку в .htaccess(он у Вас есть, кстати), и завалить директорию с картинками. Можно сделать какую-то опечатку, какой-то неправильный редирект, чего-то напутать с локализациями.
Но эти проблемы правятся за считанные секунды.
Те проблемы, которые я озвучил - это непростительные ошибки, уж извините, для проекта в 2015 году. Позволять клиенту(client-side) всякие SQLERROR на клиенте в наше время, ещё и в WEB - непростительно.
Вы допускаете фундаментальные ошибки, но Вы не понимаете, о чем я говорю.
Для Вас это : "ну подумаешь, забыл в паре мест экранировать символы, ну и что, исправлю за 3 секунды!", а для других глаз разработчика - "не используется централизованное решение, позволяющее избежать такую проблему".
Когда сыплется сообщение о ошибке в базе данных на клиентскую сторону, для Вас это : "Ну сделаю, чтобы в лог выводилось только!", а у меня слов не находится.

Не хочу обидеть Вас, но такие ошибки говорят о безответственности как разработчика. Или недостаточно знаний и опыта (на каком-нибудь проекте устроят SQL-inj, посмотрим, добавится ли знаний)
Может быть Вы за неделю перепишете эти моменты и презентуете заново свой проект, может быть даже за другую цену.
Вот только сейчас это делать рановато.
И если делаете презентацию, то делайте так, чтобы комар носа не подточил, без всяких "да там версия не актуальная" и подобного.

[Dementor]

shegan, я вас услышал. Идеальных продуктов без ошибок нет, вы можете тоже допустить подобного рода ошибку, упустить просто из виду, а не из-за незнания. Мы люди в первую очередь, а не роботы.