ID Security inbouwen
Je kunt uit de URL de id zien en als een gebruiker de id aanpast van 1 naar 2, dan kan hij de info van de andere aanpassen en dat wil ik dus niet.
ik had dit in gedachte, maar werkt niet.
Code (php)
1
2
3
4
5
6
7
2
3
4
5
6
7
$usid = $_SESSION['ID'];
if(!isset($_SESSION['ID'])){
if($_SESSION['ID'] == $usid) {
echo "Not your profile";
}
}else{
/* de rest van de code */
if(!isset($_SESSION['ID'])){
if($_SESSION['ID'] == $usid) {
echo "Not your profile";
}
}else{
/* de rest van de code */
Maar weet even niet meer hoe ik dat kon aanpassen, want ik kan van 1 naar 2 gaan en die aanpassen.
En weer doe je het nota bene nadat ik je anderhalf uur geleden er al op gewezen heb.
GEEF AAN WAT ER NIET WERKT!!!!!
Ik kan nog steeds van id 1 naar id 2, dus dat gedeelte werkt niet zoals ik gedacht had
Als je bedoelt dat je de URL kan aanpassen, ja dat kan altijd. Maar ik weet niet of dat is wat je bedoelt.
Toevoeging op 13/04/2023 16:25:18:
Opgelost, was vergeten dat ik het verkeerd weg gezet had.
Een betere vraag zou zijn, waarom staat dat ID in de URL?
Dan is nog steeds een controle goed om erbij te hebben.
Maar bijvoorbeeld id_hash=eecdc2c4ed454e008551e2d941d01271
Of als je toch al met sessions werkt, waarom dan het id in de url en niet gewoon menu=profile&action=edit
Zodra je die opent, weet je script dat hij de gegevens van $_SESSION['ID'] moet pakken
Laatste kanttekening
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
2
3
4
5
6
7
8
9
10
11
12
<?php
$usid = $_SESSION['ID'];
// ^ je stelt hier $usid gelijk aan $_SESSION['ID']
if(!isset($_SESSION['ID'])){
// nu ga je kijken of $_SESSION wel bestaat, maar een regel hoger heb je die al proberen te benaderen
if($_SESSION['ID'] == $usid) {
echo "Not your profile";
// en nu kijk je of $_SESION['ID'] wel hetzelfde is als $usid terwijl je $usid heb gevuld met $_SESION['ID']
?>
$usid = $_SESSION['ID'];
// ^ je stelt hier $usid gelijk aan $_SESSION['ID']
if(!isset($_SESSION['ID'])){
// nu ga je kijken of $_SESSION wel bestaat, maar een regel hoger heb je die al proberen te benaderen
if($_SESSION['ID'] == $usid) {
echo "Not your profile";
// en nu kijk je of $_SESION['ID'] wel hetzelfde is als $usid terwijl je $usid heb gevuld met $_SESION['ID']
?>
Klinkt niet heel doordacht...
Daarom dus ook mijn vraag ;-) Om hem even zelf te laten nadenken.
"Ik heb een appel, die ik met een appel vergelijk, en het blijft een appel"