?p=activatie&code=1234¶m=nieuw¶m1=account
Gewoon met & uitbreiden als je ? al hebt.
Door dit te gebruiken & en de =
Verder lukt het wel toch.
Gr gofie
http://linkadvertenties.nl/test.php?activatie&code=123345
vreemd hier werkt het wel op jou manier...
tim, toch bedankt maar dat kende ik al 
was trouwens in mijn vorig bericht gemist!
ik deed in mijn script Key ipv key ( had hoofdletter gemist)
het werkt nu
bedankt!
btw, zorg voor goede filtering om xss tegen te gaan, want dat gebeurd in jouw gegeven voorbeeld nog niet
btw, zorg voor goede filtering om xss tegen te gaan, want dat gebeurd in jouw gegeven voorbeeld nog niet
kan je eventueel een voorbeeld geven? want snap niet wat je bedoelde
kan je eventueel een voorbeeld geven? want snap niet wat je bedoelde
XSS (cross-site scripting) is een computer security vulnerability, en komt eigenlijk vaak voor.
de code die je gaf:
www.random.com/?p=activatie&code=1234
$key = $_GET['code'];
echo $key;stel nu ik ben een (gemene) hacker en ga nu naar: http://www.random.com/?p=activatie&code=<img src="funny_image_url"/>
dan gaat op jouw pagina die afbeelding voorkomen waar jij "echo $key" doet.
Dit is enkel zichtbaar voor mensen die die url gebruiken en is dus niet zo'n erge security failure. Iemand kan die link nu wel doorgeven aan iemand anders
en dan ziet die ook die image, wat grappig kan zijn, maar niet erg.
Maar!
Stel nu dat je op jouw website kunt inloggen, en ik, Quitta ben ingelogd, en een persoon stuurt mij de link http://www.random.com/?p=activatie&code=<img src=javascript:alert("XSS")> dan zal er een popup verschijnen. Nu bestaat er iets dat cookie-hijacking noemt. Je weet waarschijnlijk wel, als je ingelogd bent, hou je een cookie bij, die als token-achtig iets werkt om aan te duiden bij de server dat je logged in bent. Nu kan een hacker via javascript, de inhoud van die cookie opvragen en deze door te sturen naar een evil-website, zodat hij deze bemachtigd en vervolgens zelf zo'n cookie kan aanmaken, en dus m.a.w jouw sessie kan hijjacken. Dus terwijl jij online bent, kan hij ook op jouw account met diezelfde cookie.
Het is misschien niet al te best uitgelegd, maar je vind er genoeg informatie over op wikipedia en google.
een simpele manier om dit tegen te gaan: htmlentities
http://php.net/manual/en/function.htmlentities.php
<?php
$str = "A 'quote' is <b>bold</b>";
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str);
?>dus zoals je ziet gaat nu geen image meer worden getoond of js kunnen worden uitgevoerd.
Heb je nog geen account? Registreer je nu en word deel van onze community!