Programmierung einer kleinen Community

[topfkanne]

Hallo!

Ich plane demnächst die Programmierung einer Community.
Auf jedenfall soll sie beinhalten:

- News
- eine Art Rezessiondatenbank für CDs usw... mehrere Kategorien
- eine Fotodatenbank mit mehreren Kategorien
- ein Eventkalender
- eingesandte MP3s zum download

... am ende schließt das alles auch auf ein Anmeldesystem mit User-Accounts und ein wenig Rechtevergabe.

Die Seite soll nen schönes Design bekommen und komplett anpassbar sein und vor allem möchte ich viele Inhalte verknüpfen. Z.B. angekündigte Events als News, direkt als Diskussionsbeitrag im Forum und eben als Event im Kalender.

Jetzt ist die eigentliche Frage:

Ich habe ansich noch nie mit nem CMS gearbeitet. Auf meiner Arbeitsstelle (bin da Azubi) macht jemand mit eZ Publish rum, lernt das aber auch erst...
Bei Joomla blick ich auch nicht ganz durch (hab das mal auf nem ohost-server getestet, da lief das wenigstens mal...).

Könnt ihr mir ein leichtes aber auch vollkommen anpassbares CMS empfehlen, wo man leicht dazuprogrammieren kann?

Ich kann bisschen PHP und MySQL, so Login etc krieg ich alles hin. Hab aber leider keine Ahnung von "Sicherheitsvorkehrungen", d.h. die Anmeldesachen eben sicher zu machen. Außerdem soll das schon alles easy erweiterbar sein und das Adminmenü soll für noobs leicht zu bedienen sein. Hab auch vor das ganze mit Mod_Rewrite zu bestücken. Wäre mal nen Projekt für mich, aber ist das nötig / lohnt sich das?

Gebt mir bitte euren Ratschlag!
Danke

 

[Franco]

Wenn du dir soviel vorgenommen hast da kannst du schon fast selber eins proggen alles was du dafür lernen musst findest du hier:
https://tut.php-q.net/

MFG Franco

 

[No5251]

Alleine das alles programmieren? Dann ist in einigen
Monaten noch kaum etwas zu sehen.

Ich persönlich würde die Joomla! mit dem "Community
Builder"-Paket empfehlen. Etwas Einarbeitunszeit braucht
man bei jedem CMS - selbst bei Contenido oder MODx.
Für Joomla! gibt es auch ein freies Einsteiger-Handbuch.

 

[Franco]

Alleine das alles programmieren? Dann ist in einigen
Monaten noch kaum etwas zu sehen.

Ich persönlich würde die Joomla! mit dem "Community
Builder"-Paket empfehlen. Etwas Einarbeitunszeit braucht
man bei jedem CMS - selbst bei Contenido oder MODx.
Für Joomla! gibt es auch ein freies Einsteiger-Handbuch.

Alles ? einen tag lang sich richtig reinknien und fertig ist das ding
Und dann kann er wenigstens sagen "Leute, seht ihr das alles hier das alles, habe ICH selbst gemacht!"

 

[topfkanne]

naja an einem tag nicht... *gg

einen monat halte ich für realistisch, kann in der woche eh nur abends.
joomla krieg ich nirgendwo zu laufen und ich hab das gefühl das ich das machen kann, was ich brauche.

ich werds wohl wirklich selbst machen... hab mich schon mit anderen leuten darüber kurzgeschlossen, einige haben mir auch cms empfohlen, andere sagten genaus sowas wie franco...

mhmmm

joomla, joomla, ich weiß net :/

am ende will ichs halt wirklich 100% anpassen und ich glaube das geht nur wenn mans selbst macht

 

[ice-breaker]

Alles ? einen tag lang sich richtig reinknien und fertig ist das ding

da will ich dann aber nicht die Bugs, Sicherheitslücken, Coding Stil und die Performance der Datenbank sehen
Alleine schon fürs planen werden schon nen paar Tage draufgehen...

 

[topfkanne]

jop.
geplant soll das ganze schon sein. sicherheit im loginsystem soll auch gegeben sein...
auf cookies würde ich wohl verzichten wollen, jedenfalls nur auf des benutzers willen anbieten.

ich habe jetzt von der möglichkeit gelesen, die sessionid mit der vorher entnommenen ip des users ständig zu vergleichen. ist nen schritt sicherer, aber wie kann man noch sicherer mit sessions umgehen?

ich google parallel auch mal danach, aber vllt kann mir hier noch wer paar tipps geben
die login sache ist halt am aufwändigsten für mich

klamm scheint auch mit sessions zu laufen, jedenfalls werden die direkt in der adresszeile übergeben *g

 

[No5251]

Alles ? einen tag lang sich richtig reinknien und fertig ist das ding

Kein Kommentar.

Und dann kann er wenigstens sagen "Leute, seht ihr das alles hier das alles, habe ICH selbst gemacht!"

Und andere sagen dann: "Geil! Hier ne XSS-Lücke,
dort sind SQL-Injections möglich ...".

einen monat halte ich für realistisch, kann in der woche eh nur abends.

Auch das wage ich zu bezweifeln.

am ende will ichs halt wirklich 100% anpassen und ich glaube das geht nur wenn mans selbst macht

Was genau möchtest du denn noch weiter anpassen? Immerhin gibt es
in großen Projekt-Gemeinschaften meistens jemand der schon den
selben Wunsch hatte. Falls nicht, schreibt man das Modul/Plugin selbst
und x-tausend Leute untersuchen den Quelltext und verbessern eventuell
noch etwas.

ich habe jetzt von der möglichkeit gelesen, die sessionid mit der vorher entnommenen ip des users ständig zu vergleichen.

Was ist, wenn 2 oder mehr Benutzer mit der selben IP ankommen?

aber wie kann man noch sicherer mit sessions umgehen?

An deiner Stelle würde ich mir weniger Gedanken um die Sicherheit
der Sessions machen als um die der Datenbank.

die login sache ist halt am aufwändigsten für mich

Der Rest ist teilweise aufwendiger.

klamm scheint auch mit sessions zu laufen, jedenfalls werden die direkt in der adresszeile übergeben *g

Dann siehst du wohl mehr als wir.

 

[flaschenkind]

Dann siehst du wohl mehr als wir.

Da wird ne ZID übergeben auf manchen Seiten. Vllt sind das die Sessionids?
Das würde dann dafür sprechen, dass hier Sessions im Einsatz sind.

 

[ice-breaker]

Login in den Cookie speichern, ist die sicherste Methode, musst dann nur eben böse auf XSS aufpassen, denn auch an http-only cookies kommt man ran.

Achso, wenn ich programmiere geht 80% meiner Zeit durch die Validierung des Inputs drauf, also da wird bei sicherem Coding die ganze Zeit hingehen

 

[No5251]

Da wird ne ZID übergeben auf manchen Seiten.

Ah, die gibt's also doch noch. Hatte nur Stichprobenartig gesucht.

 

[topfkanne]

Was ist, wenn 2 oder mehr Benutzer mit der selben IP ankommen?

Hmm, ja dann haben die ne Chance *g man kann ja auch auf Browser, Betriebssystem usw vergleichen... kA *gg aber nen Stück sicherer ists wohl schon oder?

Login in den Cookie speichern, ist die sicherste Methode, musst dann nur eben böse auf XSS aufpassen, denn auch an http-only cookies kommt man ran.

Achso, wenn ich programmiere geht 80% meiner Zeit durch die Validierung des Inputs drauf, also da wird bei sicherem Coding die ganze Zeit hingehen

Hmm okey, werd mich mal drüber informieren. Danke.

 

[TriloByte]

Viel hängt von der Routine ab. Wenn du ein Framework verwendest oder entsprechende Tools, die schon mal die gängigsten Inputvalidierungen vornehmen, geht dabei nicht mehr so viel Zeit drauf.
Als Anfänger hingegen wirst du sicherlich deine Zeit brauchen und der Code wird wahrschrinlich auch nicht der Schnellste sein

 

[topfkanne]

jop, aber lust hab ich schon mich da bisschen reinzufuchsen
hab auch schon paar artikel für den sicheren umgang mit php sessions gelesen, wo auch auf html und sql injections eingegangen wird... ist ja ganz interessant alles *g