Bedankt reza!
heb het artikel gelezen maar wordt er echt niets wijzer uit.
iemand dij mij via skype kan helpen?
Posts by L. Velthuis
-
-
showemails: bekijk de functie htmlentities, je echo't de waarde maar eventuele xss ga je tegen met htmlentities
process: bekijk de functie mysqli::real_escape_string (of overweeg PDO met prepared statements)dat laatste stukje is voor de oude mysql_* functionaliteiten, jij gebruikt mysqli (i => improved). kan werken, maar beveiligd niet optimaal.
heb je skype? zou je mij dan jouw skype naam toe kunnen sturen via privé bericht?
-
Nice share :).
heb een paar boeken van php gedownload yay!
-
Dus jij hebt volledige rechten over alles? En je weet zeker dat je dit template niet ergens gratis gedownload hebt?
-
Toon Meer
Hallo,
Dit doe je door te zoeken naar wat een xxs aanval precies inhoud en hoe je dit kan voorkomen. Zelfde geld voor SQL injecties.
Zodra je het begrijpt kan je het voorkomen. Vaak staat bij een uitleg hoe het werkt ook een uitleg hoe je het kan voorkomen.Oftewel, verdiep je er even in en je zult het zelf kunnen toepassen
Mvg,
Tim
Hallo tim,heb er al veel over gelezen maar ik zie dan allemaal scripts die totaal niet op die van mij lijken, waardoor ik heel snel in de war raak. Dus ik had gehoopt dat iemand mij dit verder uit kan leggen aan de hand van mijn gepostte scripts.
-
Had eventueel interesse gehad maar vind het algehele verhaal een beetje vaag.
misschien nou even een duidelijk topic met hoe de vork nou precies in de steel zit? ;)?
-
Hallo allemaal,
ik heb een scriptje in elkaar gezet om mijn portfolio te voorzien van een 'admin panel'
ik wil dat mensen via het contactformulier op mijn website iets in mijn database zetten (INSERT INTO), en dat ik ze vervolgens uit kan lezen op een bepaalde pagina op mijn site (het 'admin panel').
dit is allemaal redelijk gelukt. Via het contactformulier kan ik de drie velden (naam, email, bericht) in mijn database zetten. en op een andere pagina kan ik ze weer opvragen.
maar mijn vraag is nu: Hoe beveilig ik deze formulieren tegen sql injections / xss etc? Ik heb hier totaal geen verstand van en heb de formulieren ook aan de hand van een tutorial gemaakt.
hier de scripts:
process.php
PHP
Toon Meer<?php //kijken of formulier is ingevuld en variabelen aanmaken if(!empty($_POST)){ $name = $_POST['name']; $emailaddress = $_POST['emailaddress']; $message = $_POST['message']; // Database Verbinden require_once('config.php'); // Query opzetten $query = "INSERT INTO emailmessages (name, emailaddress, message) VALUES ('".$name."', '".$emailaddress."', '".$message."')"; // Alles naar de database versturen en teruglinken naar hoofdpagina. if (mysqli_query($link, $query) == true) { header("Location: success.html"); exit; } else { die("De gegevens zijn niet opgeslagen in de database."); } } else { header("Location: index.html"); exit; } ?>showemails.php
PHP
Toon Meer<?php // Database Verbinden require_once('config.php'); // Query om berichten aan te roepen uit database $query = "SELECT * FROM emailmessages"; // Laat gegevens zien op de pagina $result = mysqli_query($link, $query); while($row = mysqli_fetch_assoc($result)) { ?> <strong>Naam:</strong> <?php echo $row['name']; ?> </br> <strong>E-mail Adres:</strong> <?php echo $row['emailaddress']; ?> </br> <strong>Bericht:</strong> <?php echo $row['message']; ?> </br> </br> </br> <hr> <?php } ?>
en verder het stukje html van het formulier.PHP
Toon Meer<form method="post" action="process.php"> <div class="row half"> <div class="6u"><input type="text" class="text" name="name" placeholder="Naam" /></div> <div class="6u"><input type="text" class="text" name="emailaddress" placeholder="E-Mail" /></div> </div> <div class="row half"> <div class="12u"> <textarea name="message" placeholder="Bericht"></textarea> </div> </div> <div class="row"> <div class="12u"> <a href="#" class="button submit">Verstuur Bericht</a> </div> </div> </form>edit:
nu heb ik volgend script gevonden op internet, en ik heb gelezen dat je deze bovenin de pagina moest includen om het tegen sql injection te beveiligen?
maar werkt dit script ook voor mijn formulier?
PHP
Toon Meer<?php // bescherming tegen mysql injection function quote_smart($value) { if (get_magic_quotes_gpc()) { $value = stripslashes($value); } if (version_compare(phpversion(), "4.3.0") == "-1") { return mysql_escape_string($value); } else { return mysql_real_escape_string($value); } } function check_array(&$array) { foreach ($array as $key => $value) { $value = quote_smart($value); $array[$key] = $value; } } if ($_SERVER['REQUEST_METHOD'] == 'POST') { check_array($_POST); } if ($_SERVER['REQUEST_METHOD'] == 'GET') { check_array($_GET); } ?> -
ik zie in je signature dat er 8 procent nog niet speelbaar is. waarom niet / wat niet?
hoog xxx of laag xxx? -
iets van een forum over een of ander 'nieuw' onderwerp?
-
Ja maakt me ook niet uit hoor.
Maar ik heb hem in ieder geval niet.
had je dus verkeerd begrepen.
-
Alle domeinnamen zijn weg. Kan een slotje op.
Niet waar. :p.ik heb die laatste niet aangevraagd ivm andere registrar.
-
Domein(en):paypalbooster.eu
Verloopt op:10-01-2015
Registrar:versio
Incl. hosting:nee
Hosting loopt tot:nvt
Begin bod:5 euro
Opbieden met:0.50 euro
Buy now: 20
Betalen kan via: bankoverschrijving, paypal
Extra informatie:geen statistieken aanwezig. grootste bezoekersaantal is 2500 door een advertentie site. -
Hallo,
Ik heb geprobeerd de push aan te vragen, maar hij zegt dat het domein niet gevonden is. Ik heb het over versio
-
Domein(en):gamevlog.eu
Verloopt op:28-06-2014
Registrar:versio
Incl. hosting:nee
Hosting loopt tot:nee
Begin bod:5
Opbieden met:0,50
Buy now:15
Betalen kan via:bankoverschrijving, paypal
Extra informatie:geen statistieken of iets dergelijks aanwezig! -
Ik heb deze nog over.
- pornowebcammeiden.nl | 0€ - Geldig tot: 27-07-2014. (Domein komt uit 2007.)
Ik zou deze graag van je krijgen. Kan ik een push aanvragen?
-
kan dit niet gewoon met inline?
-
Bedankt 'Swaffelaar? :P?' !
-
Weet niet of dit iets is wat je bedoelt:
http://ftpbox.org/ -
Bedankt voor je uitleg victor! :).
ook al ben ik geen ts: het is toch nuttig voor mij geweest.
-
Deze zijn toch zat gratis te vinden op internet?
