Waarom wil je dat? Is hier dus helemaal niemand die over de veiligheid nadenkt. Alsof FTP zelf nog niet onveilig genoeg is.
Daarbij is het 'chmodden' van je bestanden ook niet echt aan te raden. Dat is ook een flinke aanslag op je beveiliging.
Mijn tip: Bewerk je website gewoon vanuit huis, net zo verstandig.
Unexcepted '(teken)'. Laten we het teken weghalen!8-)
Niet echt een oplossing he. En dat je even verteld dat je regelnummers kunt tellen is ook niet zo heel nuttig.
Als ik de code in mijn IDE invoer, krijg ik geen foutmelding, dus de accolades zelf zitten hier in (dit script) wel goed.
Maar begin eens met je script normaal te indenten. Dan kun je het ook nog eens lezen.
Ik vind dit dus klinkklare onzin. Geef eens één goede rede waarom die komma daar weg zou moeten? Die lui hebben weer niks beters te doen natuurlijk...
En 'Hoogachtend' gebruiken wij hier inderdaad alleen als we een miljoen van iemand eisen...
Hoor niet heel vaak dat [func]ctype_digit[/func] een slechte functie is. Eigenlijk zijn er ook weinig slechte functies in de PHP core, ze doen tenslotte wat ze moeten doen.
Echter, [func]ctype_digit[/func] gaat na of een string die je meegeeft enkel bestaat uit cijfers. Het controleert dus niet (direct) of er een geldig getal wordt opgegeven. En wanneer je niet te streng wilt zijn in de invoer, maar soepeler, prefereer ik het volgende:
<?php
if(is_numeric($invoer) {
$invoer = round($invoer); //We willen tenslotte alleen werken met hele getallen.
$invoer = abs($invoer); //Negatieve waardes omzetten naar positieve waarden (de vraag is of je dat zo wilt).
}
?>Daarnaast is [func]ctype_digit[/func] ook echt enkel goed als je gehele, positieve getallen wilt. Wanneer je dat niet wilt moet je er toch weer omheen.
Misschien een leuke uitdaging:
function realNumber($number, $digits = 0, $negative = false, $tolerance = 2) {}Over het voorbeeld wat TS geeft in zijn beginpost.
$bericht_post = addslashes(htmlspecialchars(mysql_real_escape_string($_POST['bericht'])));
Dit is natuurlijk meer overkill dan beveiling. Daarnaast moet je ook nog eens zien al die slashes weer weg te filteren. En onthoud regel 1:
"Data in de database moet zo min mogelijk zijn bewerkt."
Tenslotte wil je niet altijd je data als HTML weergeven, maar soms ook aanpassen, naar PDF schrijven, enz.
En mag ik mijzelf dan nog één keer quoten?(a)
"Beveiliging is geen kwestie van de goede functies, het is een kwestie van logisch nadenken en alert zijn."
Ik vind het belachelijk. Ten eerste dat die kerel wordt opgepakt, en al helemaal dat het op nieuwssites als nu.nl komt te staan. Dat is gewoon gratis reclame, die websites hoeven de namen van de 'gehackte' websites echt niet te geven.
Daarbij, een Zend certificaat maakt nog geen goede programmeur. Laat staan een goede programmeur die goed gebruikt maakt van zijn kennis. Ook is het nog niet duidelijk om wat voor een fout het gaat en op welk niveau die fout ligt?
Waar ik even mee wil beginnen: We zijn als crew minder streng op gaan treden dan we hebben gedaan. En nu wordt er gezegd dat we juist strenger moeten optreden, wat moeten we nu dan?
Ik snap het wel, en kan denk ik ook wel uitleggen waardoor het komt. Wanneer wij als crew zijnde strenger optreden, raken ook de 'goede' leden er de dupe van. Maar wanneer we soepeler zijn, worden de goede leden juist lastiggevallen door de leden die het lopen te verzieken.
En daar ligt het probleem. Ik ben van mening dat wij als crew zijnde (en dan spreek ik over een crew uit vrijwillige basis, die niet de tijd en de mogelijkheden hebben om van alles te bedenken en te analyseren) niet beter kunnen modereren dan we doen. CP is nu eenmaal een website met veel leden die aan zichzelf denken en niet aan andere leden of de community. Ze komen hier om er profijt van te hebben, zonder dat andere er profijt van hebben.
En jullie moeten ook eerlijk zijn: Het is nooit goed! En daar wil ik jullie wel gelijk in geven, maar enkel om aan te geven dat wij ook niet de macht hebben om het beter te doen.;) Daarvoor moet je toch bij een deel van de leden zijn...
Mijn mening is denk ik wel duidelijk nu.(b) Hoor er graag van.
Wanneer je voor iedere gebruiker een query uitvoert ben je heel slecht bezig...
Wat voor een statistieken wil je ophalen dan?
Het is gigantisch onduidelijk! En waarom zou je het willen? Je kunt ook gewoon werken met qoutes, dat is 3x zo simpel (als je het mij vraagt), en werkt beter. Daarnaast snappen veel editors en IDE's HEREDOC niet.
CitaatHet bestaat wel, ik wil hier wel een link neerzetten maar ik wil eerst weten of het illegaal is...
Zet maar neer hoor. Waarschijnlijk een rainbow table. MD5 decoderen bestaat niet. Wel kun je zogenaamde collisions vinden en een 'toevallig' matchende waarde voor de MD5 string vinden. Al zijn we 1000 jaar verder, dan nog kunnen we geen MD5 string 'decoderen'. Waarschijnlijk wel in 10 seconden 'brute forcen' (een match vinden), maar dat is een ander verhaal...
Hashes zijn niet omkeerbaar, en zullen dat ook NOOIT worden...
[offtopic]Krijg een beetje een deja vu gevoel bij deze discussie...[/offtopic]
* BUMP voor TS *
[offtopic]Mee eens, een zelf gescript moordsysteem krijg je niet voor 25 euro. Maar dat zijn de wensen van TS dan ook niet.;)[/offtopic]
Ga waarschijnlijk wel. Moet alleen zo dadelijk nog even betalen.(a) En dan lekker met klasgenoten eerst een beetje bijleren en dan bijtanken.:p
Wat nu ENDHTML wordt genoemd, noemen PHP programmeurs ook wel HEREDOC syntax.
http://nl.php.net/manual/en/la…pes.string.syntax.heredoc
Maar er zijn inderdaad weinig voorstanders van...
Je zegt: Een handige pagina om te encrypteren (Dat haal ik eruit), en vervolgens kom je met een hash functie aanlopen? Dat klopt toch echt niet helemaal.
Hashen en encrypteren is toch echt iets heel anders, met hele andere doeleinden.
Ik bedenk me ineens dat ik hier als een een kort artikel over heb geschreven. Misschien kun je die eens doorlezen.
Citaat van SacromeHelaas, +999+ word ook gezien als is_numeric
Waar baseer je dat nu weer op? Dat is regelrechte onzin. +999+ is toch niet numeriek? Toets eerst eens voordat je zomaar iets zegt.\
@Koen:
En als je dan iets verder kijkt op php.net, staat er onder jou citaat het volgende:
CitaatNote: This function require a string to be useful, so for example passing in an integer will always return FALSE. However, also note that HTML Forms will result in numeric strings and not integers. See also the types section of the manual.
Logisch, maar het melden waard.
En er is ook niks mis met de functie is_numeric(). Als je er maar goed mee omgaat. Wanneer je de waarde die door is_numeric bijvoorbeeld afrond, komt er altijd een decimaal getal uit, en precies wat de gebruiker bedoelde.
Wanneer ik de SERVER variabele even door de debug haal, krijg ik de volgende waarde:
"SERVER_NAME" => string(9) "localhost"Komt niet echt in de buurt van een URL? Vreemd dat deze variabele wordt gebruikt? Probeer eens de variabele weg te laten, en gewoon handmatig je URL in te tikken.
Wat jij nu mist in je scripts is het gebruik van array's. Kijk eens rond. Ook kun je array's gebruiken in formulieren!