Posts by Stefan.J

  • Online je bestanden beheren

    Waarom wil je dat? Is hier dus helemaal niemand die over de veiligheid nadenkt. Alsof FTP zelf nog niet onveilig genoeg is.

    Daarbij is het 'chmodden' van je bestanden ook niet echt aan te raden. Dat is ook een flinke aanslag op je beveiliging.

    Mijn tip: Bewerk je website gewoon vanuit huis, net zo verstandig.

  • bedankt

    Unexcepted '(teken)'. Laten we het teken weghalen!8-)

    Niet echt een oplossing he. En dat je even verteld dat je regelnummers kunt tellen is ook niet zo heel nuttig.

    Als ik de code in mijn IDE invoer, krijg ik geen foutmelding, dus de accolades zelf zitten hier in (dit script) wel goed.

    Maar begin eens met je script normaal te indenten. Dan kun je het ook nog eens lezen.

  • BIN normen

    Ik vind dit dus klinkklare onzin. Geef eens één goede rede waarom die komma daar weg zou moeten? Die lui hebben weer niks beters te doen natuurlijk...

    En 'Hoogachtend' gebruiken wij hier inderdaad alleen als we een miljoen van iemand eisen...

  • Vraag beveiling

    Hoor niet heel vaak dat [func]ctype_digit[/func] een slechte functie is. Eigenlijk zijn er ook weinig slechte functies in de PHP core, ze doen tenslotte wat ze moeten doen.

    Echter, [func]ctype_digit[/func] gaat na of een string die je meegeeft enkel bestaat uit cijfers. Het controleert dus niet (direct) of er een geldig getal wordt opgegeven. En wanneer je niet te streng wilt zijn in de invoer, maar soepeler, prefereer ik het volgende:

    PHP
    <?php


if(is_numeric($invoer) {
  $invoer = round($invoer); //We willen tenslotte alleen werken met hele getallen.
  $invoer = abs($invoer); //Negatieve waardes omzetten naar positieve waarden (de vraag is of je dat zo wilt).
}


?>

    Daarnaast is [func]ctype_digit[/func] ook echt enkel goed als je gehele, positieve getallen wilt. Wanneer je dat niet wilt moet je er toch weer omheen.

    Misschien een leuke uitdaging:

    PHP
    function realNumber($number, $digits = 0, $negative = false, $tolerance = 2) {}

    Over het voorbeeld wat TS geeft in zijn beginpost.

    PHP
    $bericht_post    = addslashes(htmlspecialchars(mysql_real_escape_string($_POST['bericht'])));


    Dit is natuurlijk meer overkill dan beveiling. Daarnaast moet je ook nog eens zien al die slashes weer weg te filteren. En onthoud regel 1:

    "Data in de database moet zo min mogelijk zijn bewerkt."

    Tenslotte wil je niet altijd je data als HTML weergeven, maar soms ook aanpassen, naar PDF schrijven, enz.

    En mag ik mijzelf dan nog één keer quoten?(a)

    "Beveiliging is geen kwestie van de goede functies, het is een kwestie van logisch nadenken en alert zijn."

  • Hacker internetspellen opgepakt

    Ik vind het belachelijk. Ten eerste dat die kerel wordt opgepakt, en al helemaal dat het op nieuwssites als nu.nl komt te staan. Dat is gewoon gratis reclame, die websites hoeven de namen van de 'gehackte' websites echt niet te geven.

    Daarbij, een Zend certificaat maakt nog geen goede programmeur. Laat staan een goede programmeur die goed gebruikt maakt van zijn kennis. Ook is het nog niet duidelijk om wat voor een fout het gaat en op welk niveau die fout ligt?

  • Criminalspoint

    Waar ik even mee wil beginnen: We zijn als crew minder streng op gaan treden dan we hebben gedaan. En nu wordt er gezegd dat we juist strenger moeten optreden, wat moeten we nu dan?

    Ik snap het wel, en kan denk ik ook wel uitleggen waardoor het komt. Wanneer wij als crew zijnde strenger optreden, raken ook de 'goede' leden er de dupe van. Maar wanneer we soepeler zijn, worden de goede leden juist lastiggevallen door de leden die het lopen te verzieken.

    En daar ligt het probleem. Ik ben van mening dat wij als crew zijnde (en dan spreek ik over een crew uit vrijwillige basis, die niet de tijd en de mogelijkheden hebben om van alles te bedenken en te analyseren) niet beter kunnen modereren dan we doen. CP is nu eenmaal een website met veel leden die aan zichzelf denken en niet aan andere leden of de community. Ze komen hier om er profijt van te hebben, zonder dat andere er profijt van hebben.

    En jullie moeten ook eerlijk zijn: Het is nooit goed! En daar wil ik jullie wel gelijk in geven, maar enkel om aan te geven dat wij ook niet de macht hebben om het beter te doen.;) Daarvoor moet je toch bij een deel van de leden zijn...

    Mijn mening is denk ik wel duidelijk nu.(b) Hoor er graag van.

  • Mail

    Citaat

    I didn't knew.

    Dat klopt niet, dubbele meervoudsvorm;)

    Het moet dus gewoon "I didn't know" zijn.

    Maar dat is natuurlijk hartstikke offtopic en dat mag zelfs ik niet!:p

  • hash methodes

    Citaat

    Het bestaat wel, ik wil hier wel een link neerzetten maar ik wil eerst weten of het illegaal is...

    Zet maar neer hoor. Waarschijnlijk een rainbow table. MD5 decoderen bestaat niet. Wel kun je zogenaamde collisions vinden en een 'toevallig' matchende waarde voor de MD5 string vinden. Al zijn we 1000 jaar verder, dan nog kunnen we geen MD5 string 'decoderen'. Waarschijnlijk wel in 10 seconden 'brute forcen' (een match vinden), maar dat is een ander verhaal...

    Hashes zijn niet omkeerbaar, en zullen dat ook NOOIT worden...

    [offtopic]Krijg een beetje een deja vu gevoel bij deze discussie...[/offtopic]

  • hash methodes

    Je zegt: Een handige pagina om te encrypteren (Dat haal ik eruit), en vervolgens kom je met een hash functie aanlopen? Dat klopt toch echt niet helemaal.

    Hashen en encrypteren is toch echt iets heel anders, met hele andere doeleinden.

  • captcha

    (eigenlijk werken beide gegeven captcha's onvoldoende)

    Je kunt toch gewoon een klassieke captcha nemen? Die werken toch ook prima? En zijn eigenlijk nog beter ook... (Wel minder gebruikersvriendelijk).

  • Ctype functie

    Citaat van Sacrome

    Helaas, +999+ word ook gezien als is_numeric :(

    Waar baseer je dat nu weer op? Dat is regelrechte onzin. +999+ is toch niet numeriek? Toets eerst eens voordat je zomaar iets zegt.\

    @Koen:
    En als je dan iets verder kijkt op php.net, staat er onder jou citaat het volgende:

    Citaat

    Note: This function require a string to be useful, so for example passing in an integer will always return FALSE. However, also note that HTML Forms will result in numeric strings and not integers. See also the types section of the manual.


    Logisch, maar het melden waard.

    En er is ook niks mis met de functie is_numeric(). Als je er maar goed mee omgaat. Wanneer je de waarde die door is_numeric bijvoorbeeld afrond, komt er altijd een decimaal getal uit, en precies wat de gebruiker bedoelde.