doei doei en bedankt voor de reacties en tips 
aan alle goede dingen komt een eind, webmasterplein.net 2003 - 2013
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
script beveiligen?!
43 berichten
• Pagina 2 van 2 • 1, 2
door M-D » 20 jan 2005 22:22
$q1 = "select * from class_members where MemberID = '$_GET[MemberID]' ";
Dat is niet echt veilig.
Mensen kunnen nu (bijv...) de volgende url intypen:
script.php?MemberID='; MYSQL_QUERY("DELETE FROM calss_members"); echo "
En dan wordt alles verwijderd. (Kweet niet zeker of het werkt, maar ik denk het wel....).
Op dat soort dingen moet je dus letten.
Je kan beter:
<?
if(is_numerid($_GET[MemberID]))
{
$memberid = $_GET['MemberID'];
}
else
{
$memberid = "";
}
?>
en dan je query:
<?
$q1 = "select * from class_members where MemberID = '$memberid' ";
?>
Ook moet je opletten hoe je include. Maar dat is al verteld
.
//Edit:
Dit is ook niet echt veilig, mensen kunnen zo gewoon <noscript><plaintext> e.d. doen, maakt niet veel uit aangezien ze niet heel veel schade kunnen doen maar toch...
$to = $aset[ContactEmail];
$subject = $_POST[subject];
$message = $_POST[message];
-->
$to = htmlentities(addslashes($aset[ContactEmail]));
$subject = htmlentities(addslashes($_POST[subject]));
$message = htmlentities(addslashes($_POST[message]));
Moet je alleen wel bij de output weer stripslashes($to) / $subject e.d. gebruiken.
Dat is niet echt veilig.
Mensen kunnen nu (bijv...) de volgende url intypen:
script.php?MemberID='; MYSQL_QUERY("DELETE FROM calss_members"); echo "
En dan wordt alles verwijderd. (Kweet niet zeker of het werkt, maar ik denk het wel....).
Op dat soort dingen moet je dus letten.
Je kan beter:
<?
if(is_numerid($_GET[MemberID]))
{
$memberid = $_GET['MemberID'];
}
else
{
$memberid = "";
}
?>
en dan je query:
<?
$q1 = "select * from class_members where MemberID = '$memberid' ";
?>
Ook moet je opletten hoe je include. Maar dat is al verteld
.//Edit:
Dit is ook niet echt veilig, mensen kunnen zo gewoon <noscript><plaintext> e.d. doen, maakt niet veel uit aangezien ze niet heel veel schade kunnen doen maar toch...
$to = $aset[ContactEmail];
$subject = $_POST[subject];
$message = $_POST[message];
-->
$to = htmlentities(addslashes($aset[ContactEmail]));
$subject = htmlentities(addslashes($_POST[subject]));
$message = htmlentities(addslashes($_POST[message]));
Moet je alleen wel bij de output weer stripslashes($to) / $subject e.d. gebruiken.
Boe
- M-D
- wmpr
- Berichten: 102
- Geregistreerd: 06 jan 2005 01:20
- Woonplaats: localhost
door advertentie » 21 jan 2005 22:22
eh..de verkoper? hmm..achteraf een eh.... :fool:
over de prijs zal ik maar niks zeggen
toch bedankt voor alle reacties... www.streekadvertenties.nl
draait voorlopig weer
over de prijs zal ik maar niks zeggen
toch bedankt voor alle reacties... www.streekadvertenties.nl
draait voorlopig weer
- advertentie
43 berichten
• Pagina 2 van 2 • 1, 2