6 horas atrás, gpedro disse:

yo, muito bom e útil. Apenas fique atento a performance e segurança.

• * performance
  • a cada vez que você acessa a página inicial, é realizado a consulta. Seria realmente necessário mostrar o valor do momento do acesso? pois o excesso de consultas pode causar sérios problemas de performance.
• segurança
  • você está utilizando drivers nativos, o que foi descontinuado desde o PHP 5.6 (se não me engano). Seria mais aconselhável migrar para PDO. No SQL de alterar name e group_id é possível injetar um código malicioso onde deixem todos os players com o mesmo grupo.

 

outros pontos a considerar é a reutilização de código e automatização de alguns processos. No PHP é possível identificar qual sistema operacional está sendo utilizado no servidor automaticamente, ser precisar definir uma variável manualmente. Sobre a reutilização de código, quando você cria as páginas, acaba havendo uma duplicação de código, que seria o layout. Acho que seria melhor a utilização de alguma template engine para evitar isso. ((:

 

mas veja tudo o que eu disse como uma crítica construtiva para melhorar o seu sistema que me parece ser muito bom e com potencial auto. Quando trabalhei no grupo ekz, onde mantia o globalots (easywar e globalwar), tinhamos algumas ferramentas internas dentro do ModernAAC... depois irei reunir algumas ferramentas úteis para vocÊ adicionar elas ao seu manager.

 

parabéns pelo trabalho.

 

 

Obrigado! No quesito segurança, eu acho que o risco de SQL Injection é só na pagina aonde é realizado o login, pois, como só administradores entram, não tem motivo eu usar sql injection no meu próprio servidor, que eu me lembre nesses códigos, você coloca partes de argumentos sql aonde tal valor é 758(qualquer número) or 1=1, como 1 sempre vai ser 1, ele pode retornar todos os valores, ou fazer isso no update etc.(tem outros métodos, com ; fechando um sql e mandando outro, também) . Sobre a parte de estar descontinuado, que eu me lembre, o mysql foi descontinuado, o mysqli não, ele é bem mais simples com seu procedural do que o PDO(que possuí 12 drivers diferentes), mas o serviço é realizado da mesma forma, vai numa questão de preferencia.

Na performance, não entendi muito bem essa parte: "Seria realmente necessário mostrar o valor do momento do acesso?", mas já que você citou, não tinha reparado algumas coisas, como proibir tentativas de login, para evitar um bruteforce(visto que é apenas um unico input), ou então, restringir o acesso, para quem tem group_type maior o que de players normais, e fazer login com login e senha utilizando a conta do próprio jogo.

 

Vou rever esses pontos para quando atualiza-lo novamente.

51 minutos atrás, rogaforyn2 disse:

 

Obrigado! No quesito segurança, eu acho que o risco de SQL Injection é só na pagina aonde é realizado o login, pois, como só administradores entram, não tem motivo eu usar sql injection no meu próprio servidor, que eu me lembre nesses códigos, você coloca partes de argumentos sql aonde tal valor é 758(qualquer número) or 1=1, como 1 sempre vai ser 1, ele pode retornar todos os valores, ou fazer isso no update etc.(tem outros métodos, com ; fechando um sql e mandando outro, também) . Sobre a parte de estar descontinuado, que eu me lembre, o mysql foi descontinuado, o mysqli não, ele é bem mais simples com seu procedural do que o PDO(que possuí 12 drivers diferentes), mas o serviço é realizado da mesma forma, vai numa questão de preferencia.

Na performance, não entendi muito bem essa parte: "Seria realmente necessário mostrar o valor do momento do acesso?", mas já que você citou, não tinha reparado algumas coisas, como proibir tentativas de login, para evitar um bruteforce(visto que é apenas um unico input), ou então, restringir o acesso, para quem tem group_type maior o que de players normais, e fazer login com login e senha utilizando a conta do próprio jogo.

 

Vou rever esses pontos para quando atualiza-lo novamente.

 

Bom, estou partindo do ponto que eu consiga através de bruce force, o que não é muito difícil pela simplicidade do código, acessar o painel. Melhorando o exemplo passado: altplayerpost.php possui essa query

$sql = "UPDATE players SET name='$nome', group_id='$group_id' WHERE id='$p'";

Eu poderia quebrar essa a consulta no group_id e remover o id, apesar do banco pode falhar por conta do name ser unique.

$group_id = "3'--";
$sql = "UPDATE players SET name='$nome', group_id='$group_id' WHERE id='$p'";

De qualquer forma, dê uma olhada sobre o mysqli_real_escape_string para escapar alguns caracteres que podem atrapalhar tanto no quesito segurança quando personagens com nomes com apóstrofe.

 

Sobre a performance eu digo o seguinte: a cada vez que você acessa a página inicial, ele executa a consulta. Mas aquela query precisa realmente ser executada na hora(ter o resultado agora) ou será que poderia fazer um cache para evitar consultas desnecessárias?

 

Abraços.

Em 30/10/2015 22:07:14, rogaforyn2 disse:

 

Eu precisaria do nome da tabela que se refere aos jogadores online no mysql/phpmyadmin, isso parece ser uma variável ou algo do tipo.

sé tem Players não tem Player_online 

Bem, acho que não estou revivendo o tópico, já que a mensagem não tem 1 mês. rs' 

 

Ficou perfeitinho cara, funcionou e tals.

Oia, "Dei zoom pra poder pegar a página inteira"

Spoiler

http://i.imgur.com/4FlSw69.png

 

O único problema, é essa parte:

Spoiler

http://i.imgur.com/3mSFNHQ.png

 

Não sei resolver, me ajuda? ://

 

@Edit: à, e a parte de colocar senha, não existe.. Tipo, eu ponho pra abrir o otmanager, e ele vai direto pra pagina inicial do Manager, essa que está na print.. '-' 

Editado Dezembro 12, 2015 9 anos por Christopher17288 (veja o histórico de edições)

Warning: include(../config/config.php) [function.include]: failed to open stream: No such file or directory in C:\xampp\htdocs\functions\verificasenha.php on line 2

Warning: include() [function.include]: Failed opening '../config/config.php' for inclusion (include_path='.;C:\xampp\php\pear\') in C:\xampp\htdocs\functions\verificasenha.php on line 2

Fatal error: Call to undefined function session_status() in C:\xampp\htdocs\functions\verificasenha.php on line 5  alguém pode me ajudar? fico grato des de já