Onveilig script-hulp

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

.NET Developer

Dit ga je doen Programmeren in .NET, Javascript & C# en ontwikkelen in Web Services, Windows Services en MS SQL Server; Zelfstandig verbanden maken Analyseren, testen, bugs fixen, reviewen en rapporteren; Juiste prioriteiten stellen en verantwoordelijkheid nemen; Op architectuur niveau meedenken; Af en toe klanten bezoeken. Hier ga je werken Voor onze relatie zijn wij opzoek naar een .NET ontwikkelaar met minimaal 3 jaar werkervaring. Je komt te werken in een groeiend bedrijf met betrokken collega's die zorgen voor een familiaire sfeer op de werkvloer. Als .NET ontwikkelaar word jij vanaf de eerste werkdag betrokken bij het gehele ontwikkelproces. De

Bekijk vacature »

Software Developer C# - Deventer

Software Developer C# – Deventer Bijdragen aan de toekomst van het onderwijs! Ben jij op zoek naar een dynamische omgeving waar vol enthousiasme wordt gewerkt aan software voor interactieve dashboard- en analysetoepassingen ter verbetering van het onderwijs? Dan zijn wij het bedrijf voor jou! TIG is een bedrijf met een informele en ondernemende werksfeer, waarbij goede ideeën snel leiden tot concrete acties. Wij zijn een software ontwikkelorganisatie en focussen ons op het ontwikkelen en implementeren van oplossingen voor het leveren van managementinformatie, datavisualisatie en analyses voor het onderwijs. Met onze dashboard- en analyseoplossingen zetten scholen gegevens om naar betekenisvolle informatie.

Bekijk vacature »

Front-end developer (medior/senior)

Functie Het team bestaat uit een architect, fullstack developers, app developers, de product owner en projectmanager. Eenieder draagt vanuit zijn discipline bij aan een complete oplossing voor de klant. Uiteraard zul je hierin nauw samenwerken met je collega’s. Jij wordt verantwoordelijk voor de front-end implementatie en fungeert als lead op dit gebied binnen het team. Je kunt helder formuleren, ideeën uitdragen en overbrengen aan je collega’s. Qua technische stack is het vooral van belang dat je ervaren bent met Angular, HTML5, CSS en TypeScript. Verder is ervaring in NgRx, Bootstrap, BEM en Cypress een pré, evenals affiniteit met UX/UI Design!

Bekijk vacature »

SAP HANA Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Veldhoven Vacature ID: 13382 Introductie We is looking for a HANA Developer to work for our client. The candidate has to have an experience in building Data Intensive Applications (DIA’s). The role of a HANA Developer at ASML involves working on building Data Intensive Applications in an industrial/enterprise environment. The primary responsibility is to handle data from various sources and determine the best way to structure it for use by data analysts, who will run queries and algorithms against it for predictive and prescriptive analytics through machine learning. Wat verwachten we van jou?

Bekijk vacature »

In-house .NET software developer

Functie omschrijving Ben jij op zoek naar een uitdagende in-house development functie? Maak jij graag hét verschil m.b.t. interne automatisering? Haal jij energie uit het automatiseren van processen voor je eigen collega's? Dan hebben wij de perfecte vacature voor je! Voor een gezellig Brabants familiebedrijf, zijn wij op zoek naar een .NET software developer. Je gaat in deze zelfstandige functie werken aan de ontwikkeling van eigen applicaties & en het koppelen van deze applicaties aan de ingekocht software. Jouw werkzaamheden zien er als volgt uit: Het management team signaleert behoeftes vanuit de business. Vervolgens worden deze behoeftes uitgewerkt en geprioriteerd.

Bekijk vacature »

.NET Developer C# VB

Samengevat: Deze werkgever is actief in software voor het matchen van vraag en aanbod van gebruikte auto-onderdelen. Ben jij een .NET Developer? Heb je ervaring met het ontwikkelen (REST) en integreren van webservices? Vaste baan: C# .NET Developer C# VB HBO €2.600 - €6.200 Wij ontwikkelen software om vraag en aanbod van onderdelen van personenauto's bij elkaar te brengen. Deze werkgever is een veelzijdige organisatie. Je werkt voor de eigen IT organisatie. Zij werken met moderne technologie en staan open voor innovatie. De branche van dit bedrijf is Automotive. Functie: Voor de vacature als .NET Developer Dordrecht HBO ga je

Bekijk vacature »

App Developer

Samen werken aan een gezonder Nederland en toekomstbestendige zorg voor iedereen. Dat is de impact die jij kan hebben als App Developer bij VGZ. Wil jij een bijdrage leveren aan een maatschappij waarin iedereen zich thuis voelt? Bekijk dan de vacature. Uit onderzoek van Computable is VGZ verkozen tot ‘beste niet-ICT werkgever voor ICT’ers van Nederland’ Hoe ook jij het verschil maakt Als App developer werk jij aan het belangrijkste communicatiekanaal van VGZ, namelijk de App! Als App developer bij VGZ maak je onderdeel uit van een van onze App-teams. Met een goede mix van kennis en ervaring zet je

Bekijk vacature »

Software Developer

Dit ga je doen Ontwerpen, ontwikkelen en onderhouden van (mobiele) internettoepassingen; Ontwikkelen en onderhouden van Microservices; Ontwerpen en optimaliseren van databases; Identificeren van nieuwe trends/ontwikkelingen binnen de branche. Hier ga je werken Deze marktleider op gebied van fietsen en fietservaring is gevestigd in twee provincies, verspreid over meerdere locaties. Jij zult voornamelijk in regio Joure aan de slag gaan. De organisatie doelt zich op het leveren van kwalitatief hoogwaardige producten aan alle hun klanten. De organisatie telt circa 4.000 medewerkers in meer dan 10 verschillende landen. Momenteel is de organisatie op zoek naar een Software Developer wilt meewerken aan het

Bekijk vacature »

Front-end developer (Medior/Senior)

Functie Het front-end team bestaat momenteel uit 4 collega’s en is hard aan het groeien! Samen leveren jullie een essentiële bijdrage aan de applicaties die ze voor hun klanten realiseren. Je werkt in het front-end team samen met de back-end teams en product owners om te zorgen dat de applicaties een fijne gebruikerservaring opleveren. Jouw expertise zorgt ervoor dat de juiste keuzes gemaakt worden qua techniek en ontwerp, van back-end tot aan gebruiker. In samenspraak met je team bepalen jullie de beste keuze voor techniek. Ook is er altijd ruimte om nieuwe technieken te ontdekken. Eisen • Je hebt gedegen

Bekijk vacature »

Medior/senior front end developer React Sportsoftw

Functie Voor deze functie ben ik op zoek naar een enthousiaste front end developer die communicatief vaardig is. Jij wordt onderdeel van een enthousiast jong team dat werkt aan grote websites. Binnen jouw rol ben jij diegene die de vertaling maakt van design naar functionele code en zorg jij voor goede experience op meerdere platformen. Dit doe je natuurlijk door gebruik te maken van onze stack; Javascript, HTML, CSS en React. Daarnaast wordt er gebruik gemaakt van Webcomponents en verschillende authenticatie tools. Doordat er hier gestreefd wordt naar de beste gebruikerservaringen, wordt het product constant doorontwikkeld. Hierdoor blijven ze voor

Bekijk vacature »

Experienced Lead Java Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Delft Vacature ID: 13301 Introductie We are seeking a Lead Java Developer for our team in the area of Delft. You will develop an application used exclusively by the engineers and geologists for site characterizations, which imports raw field and laboratory measurements for further processing, integration, ground modelling, and geotechnical analysis and reporting. The client/server application is entirely written in Java, and the server is hosted in the Amazon cloud, utilizing frameworks such as Spring and Hibernate, and connected to an MS SQL Server RDS instance. There is a trend towards using more

Bekijk vacature »

Senior .NET developer

Klaar voor een nieuwe uitdaging? Welke technologieën gaan schuil achter de dagelijkse energievoorziening? Als senior .NET developer bij Kenter maak jij samen met je team het verschil, zowel voor de interne organisatie als voor eindklanten. Samen bouwen jullie aan innovatieve dienstverlening met behulp van de nieuwste technologieën en tools. Het is een functie met veel vrijheid, goede arbeidsvoorwaarden én je draagt jouw steentje bij aan de energietransitie. Klinkt dit als iets voor jou? Lees dan verder of solliciteer direct! Wat ga je doen als senior .NET developer? Als senior .NET developer bij Kenter (onderdeel van Alliander) ben je van onschatbare

Bekijk vacature »

Java Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Eindhoven Vacature ID: 12946 Introductie We are looking for a Java Developer! Our client is one of the most innovation companies located within the Netherlands. We provide high quality software in a high-tech and challenging market. Functieomschrijving The department is specialized in creating and developing high quality software for manufacturing automation in a high tech environment. We strive to provide our clients with high quality software and deliver state of the art solutions in a variety of ways. Creating software infrastructure using Java SE / EE Create applications to fine tune manufacturing processes

Bekijk vacature »

Junior .NET developer

Functie Als junior .NET developer start jij in een development team met twee ervaren software ontwikkelaars. Jouw persoonlijke ontwikkeling is voor ons erg belangrijk en jij gaat dan ook meelopen met onze Senior .NET ontwikkelaar die jou met zijn kennis en ervaring een goede begeleiding kan aanbieden. Als team zijn jullie verantwoordelijk voor het schrijven van software voor onze toonaangevende Automatiseringssystemen. Jij gaat aan de slag met de onderhoud van de kernsoftware, ondersteund de software van derden door het gebruik van onze webservices en als team zijn jullie verantwoordelijk voor het ontwikkelen van onze backend oplossingen. Wij maken op dit

Bekijk vacature »

Senior SQR Java Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Eindhoven Vacature ID: 13333 Introductie Are you passionate about contributing to the world's most advanced machines. Do you thrive in a challenging environment working with highly motivated and skilled teams? If so, we have the perfect opportunity for you! We are seeking a Senior Software Design Engineer for Sequence Tooling to play a critical role in creating and maintaining mission-critical software applications. In this role, you will focus on achieving maintainable software architecture that is transparent and easy to extend while maintaining a strong focus on software quality. You will work closely with

Bekijk vacature »
Co Vanenwijk

Co Vanenwijk

28/04/2011 10:59:11
Quote Anchor link
Beste mensen,

Nu ben ik geen held op PHP gebied en zit nu voor het volgende euvel:

Jaren geleden heb ik een keer een php script aangepast dat gekoppeld zat aan een form. Nu is deze verouderd en niet veilig meer volgens mijn host en mag ik deze niet meer gebruiken.

Na het invullen van het formulier gaat er 1 mail naar de invuller en 1 mailtje naar mij.

het PHP bestandje :

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<?php

$Bank
= $_POST['Bank'];
$Opnaam = $_POST['Opnaam'];
$email = $_POST['e_mail'];
$my_email = $_POST['my_email'];
$my_subject = $_POST['my_subject'];
$thanks_text = $_POST['thanks_text'];
$mail_name = $_POST['mail_name'];
$Reknum = $_POST['Reknum'];
$Gebdat = $_POST['Gebdat'];
$Woonplaats = $_POST['Woonplaats'];
$Postcode = $_POST['Postcode'];
$Huisnummer = $_POST['Huisnummer'];
$Straat = $_POST['Straat'];
$Geslacht = $_POST['Geslacht'];
$Tussenvoeg = $_POST['Tussenvoeg'];
$Achternaam = $_POST['Achternaam'];
$Voornaam = $_POST['Voornaam'];
$reply_subject = $_POST['reply_subject'];
$thanks_text = $_POST['thanks_text'];

if ($email != ""){
$header_info = "MIME-Version: 1.0\r\n";
$header_info .= "Content-type: text/html; charset=iso-8859-1\r\n";
$header_info .= "From: ".$mail_name." <".$my_email.">";

mail ($email,$reply_subject,$thanks_text,$header_info);

$header_info = "MIME-Version: 1.0\r\n";
$header_info .= "Content-type: text/html; charset=iso-8859-1\r\n";
$header_info .= "From: ".$name." <".$email.">";

$message = stripslashes($message);

mail ($my_email, $my_subject,
"De volgende reservering is er gemaakt op uw website:<br>


Voornaam: $Voornaam<br>
Achternaam: $Achternaam<br>
Tussenvoegsel: $Tussenvoeg<br>
Geslacht: $Geslacht<br>
E-mail: $email<br>
Staat en Huisnummer: $Straat <br>
Postcode: $Postcode  <br>
Plaats:  $Woonplaats<br>
Aantal 1 persoonskamers: $Reknum<br>
Aantal 2 Persoonskamers: $Opnaam<br>
Totaal aantal personen: $Abbo<br>
Aankomst datum: $Gebdat<br>
Aantal overnachtingen: $Bank<br>
Opmerkingen of vragen: $Huisnummer <br>
<br><br><br>
<br>

"

, $header_info);
}


?>



aangezien ik zeer beperkt php kennis heb vraag ik jullie, hoe krijg ik dit bovenstaande "veilig"?
 
PHP hulp

PHP hulp

08/11/2024 22:05:59
 
Wouter J

Wouter J

28/04/2011 11:03:15
Quote Anchor link
Even wat punten:
- Regel 3 tot en met 21 zijn onnodig. Variabelen kopieren kost alleen meer tijd en het is van de rest geen verschil.
- Bekijk of de velden zijn ingevuld, door isset of empty te gebruiken.
- Variabelen moeten buiten quotes, dus bijv. 'Voornaam: $Voornaam<br>' is fout en dat moet zijn: 'Voornaam: '.$Voornaam.'<br>'
- Mail injection is mogelijk
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 11:03:41
Quote Anchor link
Heeft je hosting zelf verteld wat er onveilig aan is?

Het komt er op neer dat header-injection mogelijk is, waarmee mensen kunnen spammen. Wat ik je kan aanraden is om een mail-class te gebruiken zoals phpMailer of Swiftmailer.

Als ik nog een opmerking mag geven: Het overschrijven van variabelen in de regelnummers 3 t/m 21 is gewoon overbodig. Je kan de $_POST variabelen altijd direct in je script gebruiken.
 
Co Vanenwijk

Co Vanenwijk

28/04/2011 11:17:04
Quote Anchor link
Wouter J op 28/04/2011 11:03:15:
Even wat punten:
- Regel 3 tot en met 21 zijn onnodig. Variabelen kopieren kost alleen meer tijd en het is van de rest geen verschil.


Oke, maar zoals het er staat is het niet "onveilig" ??

Quote:
- Bekijk of de velden zijn ingevuld, door isset of empty te gebruiken.

Het formulier zelf (dat gebouwd met flash is) controleert op lege velden.

Quote:
- Variabelen moeten buiten quotes, dus bijv. 'Voornaam: $Voornaam<br>' is fout en dat moet zijn: 'Voornaam: '.$Voornaam.'<br>'

oke, ik ga dit aanpassen..

Quote:
- Mail injection is mogelijk


que?
ik ga even google raadplegen op mail injection
Gewijzigd op 28/04/2011 11:17:32 door Co Vanenwijk
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 11:28:32
Quote Anchor link
Quote:
Oke, maar zoals het er staat is het niet "onveilig" ??

Is alleen maar overbodig..

Quote:
Het formulier zelf (dat gebouwd met flash is) controleert op lege velden.

En daar dienen isset() en empty() voor.

Quote:
ik ga even google raadplegen op mail injection


Kort samengevat komt het er op neer dat buitenstaanders zelf mail-headers kunnen toevoegen en aanpassen door deze in je bericht-veld in te vullen. Zo ken er een hele spamrun naar anderen gestart worden vanaf je contactformulier.
 
Co Vanenwijk

Co Vanenwijk

28/04/2011 11:49:21
Quote Anchor link
Ik heb inderdaad wat gevonden met google

Injection dmv:

[email protected]%0ACc:[email protected]%0ABcc:[email protected],[email protected]

invoeren in het emailveld.

ik heb de bovenstaande email adressen veranderd door emailadressen van mijzelf.
Echter krijg ik ze niet binnen, dus ga er vanuit dat ze niet verzonden worden.

in het flash formulier staat ook het volgende:


================
} else if (!e_mail.length || e_mail.indexOf("@") == -1 || e_mail.indexOf(".") == -1) {
result = "Vul een geldig Email adres in";
================

zou dit voldoende zijn?

De Support van Mijndomein zegt alleen maar dat hij onveilig is... niet waar het hem inzit...

:@ ;)
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 12:07:26
Quote Anchor link
Je moet gewoon een goede mailclass zoals phpMailer of SwiftMailer gebruiken.
 
John D

John D

28/04/2011 12:15:58
Quote Anchor link
Co Vanenwijk op 28/04/2011 11:49:21:
De Support van Mijndomein zegt alleen maar dat hij onveilig is... niet waar het hem inzit...
Toch aandringen bij je hosting support om meer informatie te krijgen. Pas dan kan je gericht oplossen naar hun eisen/wensen. Nu blijft het gissen en wellicht hebben zij een verkeerd idee over bepaalde code. Het zal best wel mail-injection zijn maar laat ze dat dan even duidelijk zeggen ipv het domme en nietzeggende "niet veilig"
 
Dirk Renes

Dirk Renes

28/04/2011 16:05:56
Quote Anchor link
iets van een mail injectie gebruiken?
Gewijzigd op 28/04/2011 16:06:56 door Dirk Renes
 
Niels K

Niels K

28/04/2011 16:41:01
Quote Anchor link
Wat bedoel je Dirk? Mail injections moet je niet gebruiken je moet jezelf er tegen beschermen: mail injections
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.