ID Security inbouwen

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Arno van Zanten

Arno van Zanten

13/04/2023 15:44:54
Quote Anchor link
Ik wil een security inbouwen, maar ben even kwijt hoe dat nog eens zat.
Je kunt uit de URL de id zien en als een gebruiker de id aanpast van 1 naar 2, dan kan hij de info van de andere aanpassen en dat wil ik dus niet.

ik had dit in gedachte, maar werkt niet.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
$usid = $_SESSION['ID'];
    if(!isset($_SESSION['ID'])){
        if($_SESSION['ID'] == $usid) {    
            echo "Not your profile";
        }
    }else{
 /* de rest van de code */

Maar weet even niet meer hoe ik dat kon aanpassen, want ik kan van 1 naar 2 gaan en die aanpassen.
 
PHP hulp

PHP hulp

05/11/2024 15:49:46
 
Ozzie PHP

Ozzie PHP

13/04/2023 15:53:55
Quote Anchor link
>> ik had dit in gedachte, maar werkt niet.

En weer doe je het nota bene nadat ik je anderhalf uur geleden er al op gewezen heb.

GEEF AAN WAT ER NIET WERKT!!!!!
 
Arno van Zanten

Arno van Zanten

13/04/2023 16:08:39
Quote Anchor link
Ik kan nog steeds van id 1 naar id 2, dus dat gedeelte werkt niet zoals ik gedacht had
 
Ozzie PHP

Ozzie PHP

13/04/2023 16:12:37
Quote Anchor link
Als je bedoelt dat je de URL kan aanpassen, ja dat kan altijd. Maar ik weet niet of dat is wat je bedoelt.
 
Arno van Zanten

Arno van Zanten

13/04/2023 16:18:09
Quote Anchor link
Ja als ze in de URL : index.php?menu=profile&action=edit&id=1 naar index.php?menu=profile&action=edit&id=2 veranderen, dan kunnen ze gegevens van id 2 aanpassen, maar ik wil als ze dat doen, dat ze dan krijgen : "Not your profiel"

Toevoeging op 13/04/2023 16:25:18:

Opgelost, was vergeten dat ik het verkeerd weg gezet had.
 
Ozzie PHP

Ozzie PHP

13/04/2023 16:35:56
Quote Anchor link
Een betere vraag zou zijn, waarom staat dat ID in de URL?
 
Ramon van Dongen

Ramon van Dongen

13/04/2023 17:41:45
Quote Anchor link
Je zou ipv id=1 ook iets met een hash kunnen doen

Dan is nog steeds een controle goed om erbij te hebben.
Maar bijvoorbeeld id_hash=eecdc2c4ed454e008551e2d941d01271

Of als je toch al met sessions werkt, waarom dan het id in de url en niet gewoon menu=profile&action=edit

Zodra je die opent, weet je script dat hij de gegevens van $_SESSION['ID'] moet pakken

Laatste kanttekening
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
<?php
$usid
= $_SESSION['ID'];
// ^ je stelt hier $usid gelijk aan $_SESSION['ID']
    
if(!isset($_SESSION['ID'])){
// nu ga je kijken of $_SESSION wel bestaat, maar een regel hoger heb je die al proberen te benaderen

 if($_SESSION['ID'] == $usid) {    
 echo "Not your profile";

// en nu kijk je of $_SESION['ID'] wel hetzelfde is als $usid terwijl je $usid heb gevuld met $_SESION['ID']
?>


Klinkt niet heel doordacht...
 
Ozzie PHP

Ozzie PHP

13/04/2023 17:57:25
Quote Anchor link
>> Klinkt niet heel doordacht...

Daarom dus ook mijn vraag ;-) Om hem even zelf te laten nadenken.
 
- Ariën  -
Beheerder

- Ariën -

13/04/2023 19:00:43
Quote Anchor link
Vrij vertaald in Jip en Janneke taal:
"Ik heb een appel, die ik met een appel vergelijk, en het blijft een appel"
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.