Beveiligen

Dpm_x · 26 Maart 2011

Tegen wat moet ik mijn site allemaal beveiligen? En hoe moet ik dit doen?

L.Groot · 26 Maart 2011

Vooral op XSS en SQL injections.
Beveiligen met: [func]strip_tags[/func], [func]mysql_real_escape_string[/func], [func]htmlspecialchars[/func] of [func]htmlentities[/func].

Neem aan dat het met deze PHP pagina's duidelijk is.

Dpm_x · 26 Maart 2011

Hoe kan je een $_GET het best beveiligen? via mysql_real_escape_string?

Jackie · 26 Maart 2011

PHP

if(!ctype_digit($_GET['iets']))
{
    echo 'Het is niet numeriek';
}
else
{
    echo 'Het is wel numeriek';
}

Zoiets?

L.Groot · 26 Maart 2011

Met [func]strip_tags[/func] en [func]mysql_real_escape_string[/func].

[func]htmlspecialchars[/func] en [func]htmlentities[/func] gebruik je als je bijvoorbeeld een textveld heb om bijvoorbeeld nieuws te posten. Dan typt iemand bijvoorbeeld een é en die word dan niet vervangen (dan zie je zo'n vaag tekentje). Die é word dan automatisch in een é vervangen waardoor het goed word weergegeven.

Als je dan bijvoorbeeld nieuws wil bewerken moet je uiteraard niet die [func]htmlspecialchars[/func] en [func]htmlentities[/func] toepassen omdat je dan in een textveld ook al é krijgt te zien. Daarom moet je [func]htmlspecialchars[/func] en [func]htmlentities[/func] alleen gebruiken bij een output.
In de MySQL database zet je dus gewoon de é en niet de é.

Hieronder vind je een compeet nieuws systeem.
Dit mag je gratis van me hebben.
Maak in je database aan:

PHP

CREATE TABLE IF NOT EXISTS `nieuws` (
  `id` int(100) NOT NULL default '0',
  `titel` varchar(100) NOT NULL,
  `omschrijving` text NOT NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;

En de hele PHP pagina, opslaan als nieuws.php:

PHP

<?php
echo '<h1>Nieuws</h1><br />';
if($_GET['a'] == "nieuw"){
	// Nieuws plaatsen
	if(isset($_POST['submit'])){
		// Formulier is gepost
		$titel = strip_tags(mysql_real_escape_string($_POST['titel']));
		$omschrijving = strip_tags(mysql_real_escape_string($_POST['titel']);
		if(strlen($titel) >= 3 && strlen($titel)) <= 100){ // Controleer of de titel groter dan 2 is en kleiner dan 100 tekens
			if(strlen($omschrijving) >= 5 && strlen($omschrijving) <= 1250){ // Controleer of de omschrijving groter dan 2 tekens en kleiner dan 1251 tekens is
			mysql_query("INSERT INTO nieuws (titel, omschrijving) VALUES('".$titel."', '".$omschrijving."')");
			echo '<span style="color: green;"><b>Nieuws is met succes geplaatst</b>.</span><br />
				  <a href="nieuws.php?a=nieuw">Keer terug</a> naar de nieuws overzicht pagina';
			} else{
			echo '<span style="color: red;"><b>De omschrijving is kleiner dan 5 of groter dan 1250 tekens</b>.</span><br />
				  <a href="nieuws.php?a=nieuw">Keer terug</a> naar de nieuws toevoeg pagina';			
			}
		} else{
			echo '<span style="color: red;"><b>De titel is kleiner dan 3 of groter dan 100 tekens</b>.</span><br />
				  <a href="nieuws.php?a=nieuw">Keer terug</a> naar de nieuws toevoeg pagina';
		}
	} else{
		echo '
		<h2>Nieuws toevoegen</h2>
		<form method="post" action="">
			<b>Titel:</b><br />
			<input type="text" name="titel" size="40" maxlength="100" /><br />
			<b>Omschrijving:</b><br />
			<textarea name="omschrijving" cols="15" rows="8" maxlength="1250"></textarea><br />
			<br />
			<input type="submit" name="submit" value="Maak nieuws aan" />
		</form>
		';
	}
} else if($_GET['a'] == "edit"){
	// Nieuws wijzigen
	if(is_numeric($_GET['id'])){ // Controleer of id een nummer is
		$res = mysql_query("SELECT id, titel, omschrijving FROM nieuws WHERE id=".$_GET['id']."");
		if(mysql_num_rows($res) > 0){ // Controleer of nieuws bestaat
			if(isset($_POST['submit'])){
				// Formulier is gepost
				$titel = strip_tags(mysql_real_escape_string($_POST['titel']));
				$omschrijving = strip_tags(mysql_real_escape_string($_POST['titel']);
				if(strlen($titel) >= 3 && strlen($titel)) <= 100){ // Controleer of de titel groter dan 2 is en kleiner dan 100 tekens
					if(strlen($omschrijving) >= 5 && strlen($omschrijving) <= 1250){ // Controleer of de omschrijving groter dan 2 tekens en kleiner dan 1251 tekens is
					mysql_query("UPDATE nieuws SET titel='".$titel."', omschrijving='".$omschrijving."' WHERE id=".$sel['id']."");
					echo '<span style="color: green;"><b>Nieuws is met succes bewerkt</b>.</span><br />
						  <a href="nieuws.php?a=nieuw">Keer terug</a> naar de nieuws overzicht pagina';
					} else{
					echo '<span style="color: red;"><b>De omschrijving is kleiner dan 5 of groter dan 1250 tekens</b>.</span><br />
						  <a href="nieuws.php?a=nieuw&id='.$sel['id'].'">Keer terug</a> naar de nieuws bewerk pagina';			
					}
				} else{
					echo '<span style="color: red;"><b>De titel is kleiner dan 3 of groter dan 100 tekens</b>.</span><br />
						  <a href="nieuws.php?a=nieuw&id='.$sel['id'].'">Keer terug</a> naar de nieuws bewerk pagina';
				}
			} else{
				echo '
				<h2>Nieuws bewerken</h2>
				<form method="post" action="">
					<b>Titel:</b><br />
					<input type="text" name="titel" size="40" maxlength="100" value="'.$sel['titel'].'" /><br />
					<b>Omschrijving:</b><br />
					<textarea name="omschrijving" cols="15" rows="8" maxlength="1250">'.$sel['omschrijving'].'</textarea><br />
					<br />
					<input type="submit" name="submit" value="Bewerk nieuws" />
				</form>
				';
			}
		} else{
			echo '<span style="color: red;"><b>Dit nieuws bestaat niet (meer)</b>.</span><br />
				  <a href="nieuws.php?a=edit">Keer terug</a> naar de nieuws bewerk pagina';		
		}
	} else{
		// Kies nieuws om te bewerken
		$res = mysql_query("SELECT id, titel FROM nieuws ORDER BY id DESC LIMIT 2");
		while($sel = mysql_fetch_array($res)){
			// Zet speciale karakters en enters om naar HTML valid tekens
			echo '<a href="nieuws.php?a=edit&id='.$sel['id'].'"><b>Bewerk</b> "'.htmlspecialchars($sel['titel']).'"</a><br />';
		}		
	}
} else{
	// Nieuws laten zien
	$res = mysql_query("SELECT titel, omschrijving FROM nieuws ORDER BY id DESC LIMIT 2");
	while($sel = mysql_fetch_array($res)){
		// Zet speciale karakters en enters om naar HTML valid tekens
		echo '<h2>'.htmlspecialchars($sel['titel']).'</h2>';
		echo htmlspecialchars(nl2br($sel['omschrijving']));
		echo '<br />';
	}
}
?>

Toon Meer

Dpm_x · 26 Maart 2011

Bedankt
en ik ben van plan alles zelf te maken dus niet nodig , maar toch bedankt

L.Groot · 26 Maart 2011

Je kan het iig gebruiken als handleiding en/of documentatie ;).
Dit systeempje is optimaal beveiligd ;).

Dpm_x · 26 Maart 2011

idd als handleiding is het wel handig aangezien ik toch redelijk veel moet opzoeken terwijl ik bezig ben

Nieuwe reactie samengevoegd met originele reactie op 26.03.11 17:32:10:
heeft iemand een tutorial voor dit? :
ik wil dat er maximaal 20 leden op 1 pagina staan , vanaf dan moet er een nieuwe pagina aangemaakt worden

Thisguyisgone · 27 Maart 2011

Tada
http://www.sitemasters.be/tuto…navigatie_in_PHP_en_MySQL

YinYangYo · 27 Maart 2011

Beveilig tegen bots, greasemonkey.

Jackie · 27 Maart 2011

L.Groot

Als je htmlspecialchars hebt gebruikt om iets in de database te zetten.

Staat het al als html tekens in de database.

En waarom zou je dan htmlspecialchars weer gebruiken tijdens het uitspugen van de gegevens uit de database?

Of zie ik het verkeerd?

L.Groot · 27 Maart 2011

Oja, snelheidsfoutje
Pas ik morgen wel even aan.

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

228 Nieuwe domeinnamen Mei 2025

Hulp bij instalatie Mafia Source

193 Nieuwe domeinnamen April 2025

Beveiligen

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen