Terug naar de voorpagina
Home Nieuw Vraag & Aanbod Forums Artikelen Bedrijvengids Zoeken

TBForum

- Aanmelden
- Voorpagina
- Forum index
- Bedrijvengids
- Artikelen
- Ledenlijst
- Statistieken
- F.A.Q.
- Richtlijnen
- TBForum.mobi

Inloggen

Username
Password
Password vergeten?

Discussies

- Overig zakelijk
- Betaalsystemen
- Partnerprogr.
- S.E.O.
- Scripting
- Juridisch
- Hosting
- Adult

Vraag en aanbod

- Featured
- Contests
- Advertenties
- Domeinen
- Layouts
- Scripts
- Werk
- Sites
- Overig

Off-topic forums

- Commercieel


 Nederlands
 English

Veilig programmeren (PHP)

Taal van dit topic is Nederlands 
Forum: Scripting en webdesign  Eerste bericht: 28 jul 2011 19:58   Bekeken: 3.679 x
Op watchlist: 6 x  Laatste bericht: 11 aug 2011 15:28 Posts/dag: 1,2

Vorige | 1 | 2 | Volgende 11 - 16 van 16

   Jacob Ras, Jacob Ras
29 jul 2011 16:11 
WHERE id = '" . mysql_real_escape_string($id) . "'

Of makkelijker, casten naar een integer:
WHERE id = " . (int) $id . "

Bevat $id een string of iets anders zal er "WHERE id = 0" uitkomen.
   Martijn Dwars, 2Bytes
29 jul 2011 19:29 
Op zich is de manier waarop hij het aangeeft (dus controleren of magic_quotes aan is) natuurlijk wel goed. Wanneer je het zonder die controle doet, krijg je juist de kans dat alles dubbel gedaan wordt zoals jij aangeeft, en dat is ook weer niet de bedoeling.


Met 'controleren of het aan staat' ga je al de fout in: het mag gewoon niet aan staan. Ik zal niet in herhaling vallen, maar als je veilig wilt leren programmeren, gebruik dan vooral geen magic_quotes. Om mijn comment toch goed te onderbouwen, wat leesvoer:

- (Log in om link te zien!)
- (Log in om link te zien!)
- (Log in om link te zien!)
- (Log in om link te zien!)
- (Log in om link te zien!)
     Aangepast op 29-07-2011 19:30 door Martijn Dwars
   Hielke P., Particulier
29 jul 2011 20:20 
Intressant ! bedankt voor de reactie.
   Nico Groot, Nozonda
29 jul 2011 20:55 
Prima stukje, geeft toch een goede uitgebreide basiskennis over beveiliging voor PHP programmeurs.

Ik zelf zet de magic_quotes (ook) altijd uit met de volgende functie:
function removeMagicQuotes() {
global $_POST, $_GET, $_COOKIE;

if (get_magic_quotes_gpc()) {
function stripslashes_deep($value) {
$value = is_array($value) ? array_map('stripslashes_deep', $value) : stripslashes($value);
return $value;
}
$_POST = array_map('stripslashes_deep', $_POST);
$_GET = array_map('stripslashes_deep', $_GET);
$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
}
}

En gebruik vervolgens gewoon mysql_real_escape_string() bij iedere waarde binnen SQL queries.
     Aangepast op 29-07-2011 20:58 door Nico Groot
   Robin van Wijngaarden, Webspecialty
31 jul 2011 14:56 
Mooi uitgebreid artikel. Misschien de vraag aan moderators om consistentie aan de opmaak van het artikel toe te voegen.
   Mark Vink (M. Vink), Particulier
1 aug 2011 15:42 
$pagina = $_GET['pagina']; // pakt de variabelen

$pagina = strtolower($pagina); // zet $pagina om in kleine letters
$pagina = str_replace("***","http:",$pagina); // vervangt http: voor ***
$pagina = str_replace("***","www.",$pagina); // vervangt www. voor ***

include($pagina . '.php'); // include variabelen + .php


Dit voorbeeld vervangt *** met http:, en niet andersom...
     Aangepast op 01-08-2011 15:47 door Mark Vink (M. Vink)
   Martijn Dwars, 2Bytes
11 aug 2011 15:28 
Misschien leuk om naast het XSS-gedeelte ook iets toe te voegen over session hijacking. Ik merk dat veel programmeurs hier wat steekjes laten vallen, en de gevolgen kunnen desastreus zijn!

Vorige | 1 | 2 | Volgende 

Opmerking

Dit topic is gesloten omdat er langer dan een maand niet meer in is gepost.
Om toch een bijdrage te leveren aan deze discussie kun je een nieuw onderwerp openen en verwijzen naar deze pagina (http://www.tbforum.com/thread/161463-2.html)


 
© Copyright TargetMedia 2001-2012 | Mobile | Premium SMS | Micropayments | Muziek downloaden | Ringtones Bekijk bezoekers statistieken RSS feed