Volgende keer gewoon drukken op zoeken en zoeken... :p
http://www.criminalspoint.com/db/artikel/244/SQL-injections.html
http://www.criminalspoint.com/forum/topic/71…-injection.html
http://www.criminalspoint.com/forum/topic/99…-injection.html
http://www.criminalspoint.com/forum/topic/76…-injection.html
http://www.criminalspoint.com/forum/topic/12…eveiliging.html
Als je alles zelf script, dan kijk je gewoon alles na als alles veilig is, en jahwel, bijna alles gaat nu via Injection's.
dus het beste is, om alles wat je maakt 1x extra na te kijken, en uitteraad aan het einde van de race, zelf te testen.
Denk ook aan XSS lekken.
Alles wat een gebruiker zelf kan invoeren, denk hierbij aan $_POST, $_GET en cookies(kan je aanpassen) moet je gewoon controleren.
En het beste, dat heb ik gelezen van killingdevil, geen functie er voor schrijven, maar alles handmatig beveiligen, zodat je 100% zeker weet dat het werkt, en het er staat!
Staat er misschien een tutorial ergens online over de beveiligingen?
- sql injecties
- xss lekken
- *** (als er meer is)
Gewoon om misschien bij te leren, straks doe ik iets verkeerd (xD)
Er is ooit een goede tutorial geschreven om de beginselen van het beveiligen van websites onder de knie te krijgen:
http://www.twmerge.nl/webprogrammers_hacking_huide.pdf
Pin je niet helemaal op deze tutorial vast, maar het is wel een geweldig begin om te leren wat voor een beveiligingslekken er in je applicatie kunnen kruipen.
Alles wat een gebruiker zelf kan invoeren, denk hierbij aan $_POST, $_GET en cookies(kan je aanpassen) moet je gewoon controleren.
Feitelijk is dit genoeg. Maar in de praktijk is dit vaak niet direct de beste oplossing. Je moet namelijk zorgen dat je je validatie zo dicht mogelijk op de data zelf houden. Wat ik hier mee bedoel is het volgende:
Als je een functie of methode hebt die data in de database opslaat, moet je zorgen dat je daar de data backslashed, en niet voordat je de data doorstuurt naar de functie of de methode. Anders valideer je namelijk overal waar je de data naar de functie of methode wilt doorspelen, in plaats van alleen in de functie. Als je de data dan later in een xml-file wilt opslaan heb je een probleem.
In één zin samengevat: Valideer invoer altijd, of het nu user input is of niet, en doe dit zo dicht mogelijk bij de opslag van de data zelf.
http://www.criminalspoint.com/forum/topic/3486.html
Heel forum discussie over fouten en lekken, misschien leuk voor een bump 
Helaas dat dat ebook niet meer online staat... Had het graag willen inzien.
ff een aantal functies:
<?php
mysql_real_escape_string();
htmlentities():
strip_tags();
?>aan deze functies heb je in principe genoeg aan de inputs. er zijn er nog veel meer, maar dit is toch echt de basics
Heb je nog geen account? Registreer je nu en word deel van onze community!