Мой первый сайт на PHP
 

Оцените, мой небольшой сервис вопросов и ответов, всё делал сам, на чистом html, css, js и php.

Очень интересно узнать, удобно ли я сделал админку?

Для входа в админку, надо указать GET параметр ?admin=1 и ввести admin и admin

только не удаляйте разделы, которые вы не создавали.

http://phpkurs.16mb.com/?admin=1

сам сайт http://phpkurs.16mb.com/

весь код на гитхабе https://github.com/Div-Man/faq в коде получилось, очень много дублирования.

Описание клиентской части

• Пользователи могут просматривать категории, вопросы и ответы.
• Любой пользователь может задать вопрос, указав своё имя, адрес электронной почты, выбрав категорию и написав текст вопроса.
• Вопросы без ответов не публикуются на сайте.

Вход в интерфейс администратора

• Для попадания в интерфейс администратора нужно ввести логин и пароль.
• По умолчанию создан единственный администратор с логином admin и паролем admin.

Возможности в интерфейсе администратора

• Просматривать список администраторов.
• Создавать новых администраторов.
• Изменять пароли существующих администраторов.
• Удалять существующих администраторов.
• Просматривать список тем. По каждой теме в списке видно сколько всего вопросов в ней, сколько опубликовано, сколько без ответов.
• Создавать новые темы.
• Удалять существующие темы и все вопросы в них.
• Просматривать вопросы в каждой теме. По каждому вопросу видно дату создания, статус (ожидает ответа / опубликован / скрыт).
• Удалять любой вопрос из темы.
• Скрывать опубликованные вопросы.
• Публиковать скрытые вопросы.
• Редактировать автора, текст вопроса и текст ответа.
• Перемещать вопрос из одной темы в другую.
• Добавлять ответ на вопрос с публикацией на сайте, либо со скрытием вопроса.
• Видеть список всех вопросов без ответа во всех темах в порядке их добавления. И иметь возможность их редактировать и удалять.

100% дырявый код.

А можно поподробней?

Нет, подробный аудит ваших скриптов, это много. Напрягите Гугл, есть инструменты для проверки уязвимости сайта. Но они не дадут полной картины, но есть масса статей в сети по данному вопросу.

Сразу что бросается в глаза, так это отсутствие фильтрации данных. Для справки - strip_tags, это не фильтрация, а htmlspecialchars к данным параметров запроса, это глупость, htmlspecialchars полезна для предотвращения XSS. И этот бедлам бесполезный не смотря на то, что используется PDO, но без использования его возможностей пресечения инъекций.

Нефильтрованные данные и в подстановках используются header('Location: ?interface-admin=1&showQuestion='. $_GET['showQuestion']);

Laimas наверное имел ввиду, что надо к strip_tags, еще добавить addslashes
Однажды читал про иньекции, но так и не понял как они возможны, например я пишу в базу через mysqli_query, там нельзя сделать два запроса одной строкой, ну по крайней мере я такого не знаю, laimas если знаешь напиши как такое возможно

Что значит фильтровать данные, если кто-то захочет передать в $_GET['showQuestion'] что-то чего там быть не должно и будет переход, что с того?
P.S. Код не читал, сорри.

Зачем?

http://php.net/manual/ru/security.da...-injection.php

На здоровье, страшна не вставка как есть, а неконтролируемость со стороны разработчика последствий таких действий.

Этот раздел нужно знать.

addslashes используют для строковых параметров для предотвращение sql-иньекций

вот я и спросил, я пишу в базу через mysqli_query, там нельзя совмещать запросы select с insert, select с select и так далее, я пробовал и не получалось

Для этого используют соответствующие функции для каждого из расширений MySQL. А в случае mysqli и PDO можно использовать подготовленные запросы.

https://dev.mysql.com/doc/refman/5.7...rt-select.html

А что mysql, mysqli разницы нет.

Я забиндел всё

Ну если считаете, что теперь все Ок (так ли это...), думайте над диалогом, которого у вас нет.