spellen systeem beveiliging

maclover111

Hoi,
ik heb dit script gemaakt voor mijn site :

PHP

<html>
<head>
<title><?php echo $page->sitetitle; ?></title>
</head>
<body>
<?
// basis voor elk script
include("_include-config.php");
if(! check_login()) {
    header("Location: login.php");
    exit;
  }


// Codes voor het ophalen van de game
if($_GET['soort'] != ""){


$_GET['soort']	=	$_GET['soort'];
$dbres		=	mysql_query("SELECT * FROM `games` WHERE `sitenaam`='{$_GET['soort']}'");
while($cms = mysql_fetch_object($dbres)){
?>


<link rel="stylesheet" type="text/css" href="<? echo $sitelink;?>/layout/layout<?php echo $page->layout; ?>/css/css.css"> 
<table align="center" width=100%>
<tr><td class="subTitle"><b><center><?=$cms->sitenaam;?></center></b></td></tr>
<tr><td class="mainTxt">
<center><?=$cms->flash;?></center>
</td></tr></table>
<?






}
	
} else {
$dbres		=	mysql_query("SELECT * FROM `games` WHERE `onzichtbaar`='1'");
while($cms = mysql_fetch_object($dbres)){
echo $cms->flash;
}
}
?>


</body>
</html>

Toon Meer

Hij controleert nu of het spel in de database is
zoja dan laadt hij het spel.
en mocht er geen ?soort= ingevuld zijn dan toont hij netjes Ga terug.
Maar als je : ?soort=(*zelf invullen*) invult dan geeft hij niks weer.
dus mensen kunnen zo een mysql injection uitvoeren ?
kan iemand mijn helpen met die beveiliging ?
ik ben de hele dag al bezig maar ik ben nog niet geslaagd.

Stefan.J

Dat heb je goed gezien: MySQL injection is nu mogelijk. Je kunt dit op drie manieren oplossen:
- Plaats slashes in de soort (addslashes). En als de soort niet bestaat fout weergeven.
- Eigenlijk hetzelfde idee als de vorige oplossing, maar dan netter: Kijk of de soort enkel letters bevat (preg_match), zo niet, fout, anders kijken of het spel bestaat.
- Laatste mogelijkheid, zet de bestaande spellen in een array, en kijk of het opgegeven spel in die array staat (in_array). Zo niet: Spel bestaat niet, anders wel.

Als je nog meer vragen hebt over de oplossingen, vraag maar raak!

Alex

ben jij maf112 van de v3 ?

maclover111

als ik dit :

PHP

if(isset($_GET['soort'])){
$_GET['soort']=htmlspecialchars(addslashes($_GET['soort']));
}

toevoeg Onder :

PHP

if($_GET['soort'] != ""){

werkt het dan ?

Alex Ja Hoezo ?

Stefan.J

Nee, htmlspecialchars is ten eerste niet nodig.

Je moet eerst de string addslashen (Zoals je hierboven doet), en vervolgens in de query gebruiken. Vervolgens controleer je met mysql_num_rows of er resultaten zijn. Zo niet: Fout weergeven.

maclover111

kun je maar daar even mee helpen door middel van code voorbeeld ???
zo gevorderd in php ben ik ook nog niet:)

Stefan.J

Dat wil ik wel even doen.. Maar dan moet je eigenlijk even ergens het script posten zonder die achterlijke slashes.. Zo is het een beetje lastig.;)

maclover111

oke.
maar dat gaat automatisch : http://plaatscode.be/124177/
Hier

Stefan.J

PHP

<html>
<head>
<title><?php echo $page->sitetitle; ?></title>
</head>
<body>
<?php


// basis voor elk script
include("_include-config.php");
if(! check_login()) {
    header("Location: login.php");
    exit;
  }


// Codes voor het ophalen van de game
$sSoort	=	$_GET['soort'];
//Kijken of de soort alleen maar uit letters bestaat, zo niet, error.
if(!preg_match("#^[A-Z]*$#is",$sSoort)) {
	print "Opgegeven spel bestaat niet.";
} else {
	$dbres		=	mysql_query("SELECT * FROM `games` WHERE `sitenaam`='{$_GET['soort']}'");
	if(mysql_num_rows($dbres) != 1) {
		print "Opgegeven spel bestaat niet.";
	} else {
		while($cms = mysql_fetch_object($dbres)){
			?>
			<link rel="stylesheet" type="text/css" href="<? echo $sitelink;?>/layout/layout<?php echo $page->layout; ?>/css/css.css"> 
			<table align="center" width=100%>
			<tr><td class="subTitle"><b><center><?=$cms->sitenaam;?></center></b></td></tr>
			<tr><td class="mainTxt">
			<center><?=$cms->flash;?></center>
			</td></tr></table>
			<?php
		}
	}
}


?>
</body>
</html>

Toon Meer

Zie mijn commentaar voor meer informatie..

maclover111

Bedankt.
ik ga het script even nader bekijken.

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Van een pixelige afbeelding naar een strakke, moderne website

spellen systeem beveiliging

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken