Onveilig script-hulp

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Software Developer PHP JavaScript Python HBO SQL

Samengevat: Wij zijn een softwarebedrijf voor Autodealers. Ben jij een Medior of Senior Software Developer? Heb je ervaring met PHP, JavaScript of Python? Vaste baan: Java.Developer Software HBO €3.000 - €5.200 Bij ons op de werkvloer is er een positieve en informele sfeer. Naast een goede begeleiding en een enthousiaste klantenkring biedt deze werkgever een prettige omgeving met zeer afwisselende werkzaamheden. Houd jij van aanpakken en denk je dat je deze uitdaging aankunt? Dan zoeken wij jou! Zij werken voor grote klanten. Zij doen omvangrijke projecten die we bij deze werkgever op kantoor realiseren (geen detachering). Zij werken met state-of-the-art

Bekijk vacature »

Teamlead PHP Developer

Functieomschrijving Voor een gewaardeerde werkgever in de buurt van Middelburg zijn wij op zoek naar een gemotiveerde teamlead PHP developer met affiniteit met Symfony/Laravel. Een enthousiast persoon die het ontwikkelteam komt versterken met het aanpakken van uitdagende projecten. Ben jij op zoek naar een uitdaging waar je de tijd en ruimte krijgt jezelf te ontwikkelen en je eigen IT-team aan te sturen? Lees dan snel verder! Die ga je doen: Bijdragen aan de implementatie van aanpassingen, verbeteringen en aanvullingen in de PHP based applicaties; Ontwikkeling en beheer van de serviceportal in Symfony en de webshops in de tweede versie van

Bekijk vacature »

Cobol Developer

Dit ga je doen Als Cobol Ontwikkelaar zal je gaan meebouwen aan een onderdeel van het backend systeem waarbij je het functionele ontwerp vertaald naar een technische oplossing die geïntegreerd kan worden in de huidige omgeving. Je zorgt ervoor dat de bedrijfsprocessen op een efficiënte manier worden uitgevoerd en werkt proactief aan het verbeteren hiervan. Samen met jouw collega’s reviewen jullie elkaars code en test je je eigen code. Je werkt nauw samen met andere ontwikkelaars, testers en functioneel ontwerpers. Taken pakket: Beheren en doorontwikkelen van de bestaande omgeving; Vertalen van een functionele vragen naar een technische oplossing; Doorvoeren van

Bekijk vacature »

Medior/senior Back-end developer wanted!

Functie Because of the growth within the company, we are looking for reinforcement in the devlopmenttean. As a back-end developer you build the company software that helps us with the primary processes. A fun (internal) project in which you continuously develop the software! You will work in a small team, we have daily stand-ups and a scrum session every fortnight, led by our Scrum Master. During these sessions, you get the opportunity to present your ideas and discuss them with your fellow developers and the Product Owner. Within the development teams, we use Trello, Gitlab, Jiira, Confluence and Boockstack. They

Bekijk vacature »

.NET Software Developer

Dit ga je doen Als .NET Software Developer zul jij je voornamelijk bezig houden met: Het van scratch af aan bouwen van applicaties (.NET, C#, Bootstrap, KnockoutJs en WebAPI2); Het testen van jouw code d.m.v. het uitvoeren van unittesten; Het oplossen van bugs in de code; Het onderhouden van contact met collega's betreffende de door jouw ontwikkelde applicaties; Het verbeteren en doorontwikkelen van maatwerkapplicaties. Hier ga je werken Jij gaat aan de slag als .NET Software Developer en gaat je focussen op het bedenken, ontwikkelen en testen van maatwerkapplicaties in voornamelijk C#. Dit ga je doen bij een grote, internationale

Bekijk vacature »

.Net ontwikkelaar - Het schoolsysteem verbeteren!

Bedrijfsomschrijving Onze klant is een prettige en kleinschalige organisatie waar hard gewerkt wordt om het onderwijs te verbeteren. Daarom werken ze aan complexe om administratieve, financiële en facilitaire processen te versnellen en te verbeteren. Dit doen ze vanuit een platte organisatie voor klanten die door geheel Nederland verspreid zitten, hier horen vanzelfsprekend een aantal aansprekende HBO scholen en universiteiten toe. Functieomschrijving Je komt terecht in een organisatie waar op dit moment 2 scrumteams werken. Jij zal als .Net developer binnen 1 van deze scrumteams functioneren, iedereen binnen dit team heeft zijn/haar eigen expertise waardoor er met verschillende invalshoeken aan een

Bekijk vacature »

Embedded Software Developer

Functie omschrijving Voor een mooi softwarebedrijf in omgeving Moordrecht zijn wij op zoek naar een Embedded Software developer. Ben jij enthousiast en een echte team player? Lees dan snel of dit iets voor jou is! Binnen deze rol houdt jij je bezig met alle werkzaamheden die nodig zijn om een functionaliteit te bouwen. Denk aan ontwerpen, architectuur, programmeren en algoritmes. Je voert test en validatie werkzaamheden uit bij de implementatie bij de klant. Ben jij een Embedded Software Developer die affiniteit heeft met de allernieuwste technieken? Laat dan snel wat van je horen! Bedrijfsprofiel Onze opdrachtgever bestaat uit een groot

Bekijk vacature »

Junior PHP Developer

Functieomschrijving Junior PHP Developer gezocht! Voor een opdrachtgever in de regio Gelderland zijn wij op zoek naar een Junior PHP Developer die onderdeel gaat worden van het ontwikkelingsteam van deze organisatie. In deze functie ga jij aan de slag met het schrijven van software voor de aansturing van en het managen van windparken en bijbehorende onderdelen. Hiernaast ga jij je bezighouden met het ontwikkelen, testen en onderhouden van diverse webapplicaties. Het team waarin je komt te werken bestaat uit 3 developers, hierdoor krijg je veel verantwoordelijkheid en de kans om jezelf verder te ontwikkelen. Er wordt echter wel van je

Bekijk vacature »

Senior Lead Front End Developer

Functieomschrijving Voor Stichting Waternet zijn wij op zoek naar een senior Lead Front End Developer. Binnen het DevOps team Online zijn we op zoek naar een Senior Lead Front End developer met kennis van toegankelijkheid. Deze developer zal zich bezighouden met development van webpaginas die in verbinding staan met systemen uit het back office. Taken Ontwerpen, ontwikkelen, implementeren, documenteren en beheren van webapplicaties in een Azure-omgeving Debuggen, analyseren en oplossen van problemen in de OTAPomgevingen Je participeert in het DevOpsTeam Online voor het verder uitwerken en implementeren van gebruikerswensen Je bent betrokken bij toegankelijkheid audits en het implementeren van WCAG

Bekijk vacature »

Node.js developer looking for a challenging consul

Functie Under the guidance of 3 account managers, one of whom will be your point of contact within your expertise, you will start working for various clients. He or she will help you find a suitable and challenging assignment. Naturally, they will take your situation, experience and (technical) ambitions into account. The assignments last one to two years on average. This allows you to really commit to a project and make an impact as a consultant. Besides the assignment, you will regularly meet your colleagues from the IT department to share knowledge or discuss new trends, for example. Master classes

Bekijk vacature »

Informeel bureau zoekt Senior PHP developer

Functie Als senior PHP developer neem je het voortouw in ontwikkeltrajecten en ben je in staat werk uit te leggen aan collega’s om zo je kennis met hen te delen. Je deinst niet terug voor ingewikkelde projecten. Deze zie jij alleen maar als uit uitdaging. Je werkt doorlopend aan klantcases (en hierdoor je klant echt leert kennen), maar toch ben je afwisselend bezig. Dit alles in een vrije en ontspannen werksfeer, met een team van gelijkgestemde. Binnen de development teams werken ze met o.a. PHP, Laravel, React, Node, Elastic, Amazon AWS, JIRA, Solid, Domain-driven-design, Doctrine, Redis, docker, Kubernetes, CI, PHP

Bekijk vacature »

Magento developer

Functie E-commerce is een ‘’snelle’’ wereld. Om hierin continu voorop te blijven omarmen ze in een vroeg stadium nieuwe technieken. Een webshop is nooit af en kan altijd beter, sneller en efficiënter. Tegelijkertijd hebben ze vanaf hun oprichting altijd vastgehouden aan kwaliteit boven snelheid, en dit loont. Als back-end developer fungeer je als het verlengstuk van hun klanten. Technisch complexe zaken pak je met liefde op, en hierin werk je samen met o.a. front-end developers en designers. Klanten verwacht hierin kwaliteit van het hoogste niveau en een proactieve, meedenkende rol bij het maken van zowel technische als strategische keuzes. Ga

Bekijk vacature »

Front-end Developer

Front-end Developers opgelet! Bij Luminis zijn ze opzoek naar jou. Lees de vacature en solliciteer direct. Luminis is een software- en technologiebedrijf met meerdere vestigingen. Vanuit deze vestigingen werken 200 professionals aan technisch hoogwaardige oplossingen voor klanten zoals KLM, Nike en Bol.com. Ook ontwikkelt Luminis eigen oplossingen op het gebied van cloud, Internet of Things, data intelligence, e-sports en e-learning. Luminis onderscheidt zich door aantoonbaar voorop te lopen in technologie en innovatie. Luminis heeft drie kernpunten die verankerd zitten in alles wat we doen: het omarmen van nieuwe technologie, meesterschap en kennis delen. Functiebeschrijving First things first! Het is belangrijk

Bekijk vacature »

Lead Java Developer

Dit ga je doen Je taken bestaan onder andere uit: Het aansturen van een development team bestaande uit 8 collega's op technisch maar ook HR gebied; Het maken van strategische keuzes omtrent de (nieuw)bouw van deze applicatie; Het maken van technische ontwerpen; Hands-on mee ontwikkelen met het team (met o.a. Java, Spring, Angular, REST); Reviewen van code en feedback geven op collega developers. Hier ga je werken Als Lead Software Developer ben je verantwoordelijk voor één van de vier Agile Java ontwikkelteams die bouwen aan technologie die duizenden instanties wereldwijd verbindt. Dit Agile team, data Jira en Confluence gebruikt en

Bekijk vacature »

Junior .NET developer

Functie Ons programma is voor afgestudeerde enthousiastelingen die het als een uitdaging zien om met een klein dynamisch team bij de grootste bedrijven van Nederland aan de slag te gaan. Tijdens jouw dienstverband word jij begeleid door een talent manager. Het ontwikkelen van jouw talent staat hierbij centraal. Het programma doorloop je met een team van circa 8 Mede- trainees. De eerste maand start je met een fulltime inhouse opleiding. Deze staat geheel in het teken van de werkzaamheden die jij verder in het programma zult uitvoeren. Na deze opleidingsmaand ga je aan de slag in een dynamische omgeving bij

Bekijk vacature »
Co Vanenwijk

Co Vanenwijk

28/04/2011 10:59:11
Quote Anchor link
Beste mensen,

Nu ben ik geen held op PHP gebied en zit nu voor het volgende euvel:

Jaren geleden heb ik een keer een php script aangepast dat gekoppeld zat aan een form. Nu is deze verouderd en niet veilig meer volgens mijn host en mag ik deze niet meer gebruiken.

Na het invullen van het formulier gaat er 1 mail naar de invuller en 1 mailtje naar mij.

het PHP bestandje :

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<?php

$Bank
= $_POST['Bank'];
$Opnaam = $_POST['Opnaam'];
$email = $_POST['e_mail'];
$my_email = $_POST['my_email'];
$my_subject = $_POST['my_subject'];
$thanks_text = $_POST['thanks_text'];
$mail_name = $_POST['mail_name'];
$Reknum = $_POST['Reknum'];
$Gebdat = $_POST['Gebdat'];
$Woonplaats = $_POST['Woonplaats'];
$Postcode = $_POST['Postcode'];
$Huisnummer = $_POST['Huisnummer'];
$Straat = $_POST['Straat'];
$Geslacht = $_POST['Geslacht'];
$Tussenvoeg = $_POST['Tussenvoeg'];
$Achternaam = $_POST['Achternaam'];
$Voornaam = $_POST['Voornaam'];
$reply_subject = $_POST['reply_subject'];
$thanks_text = $_POST['thanks_text'];

if ($email != ""){
$header_info = "MIME-Version: 1.0\r\n";
$header_info .= "Content-type: text/html; charset=iso-8859-1\r\n";
$header_info .= "From: ".$mail_name." <".$my_email.">";

mail ($email,$reply_subject,$thanks_text,$header_info);

$header_info = "MIME-Version: 1.0\r\n";
$header_info .= "Content-type: text/html; charset=iso-8859-1\r\n";
$header_info .= "From: ".$name." <".$email.">";

$message = stripslashes($message);

mail ($my_email, $my_subject,
"De volgende reservering is er gemaakt op uw website:<br>


Voornaam: $Voornaam<br>
Achternaam: $Achternaam<br>
Tussenvoegsel: $Tussenvoeg<br>
Geslacht: $Geslacht<br>
E-mail: $email<br>
Staat en Huisnummer: $Straat <br>
Postcode: $Postcode  <br>
Plaats:  $Woonplaats<br>
Aantal 1 persoonskamers: $Reknum<br>
Aantal 2 Persoonskamers: $Opnaam<br>
Totaal aantal personen: $Abbo<br>
Aankomst datum: $Gebdat<br>
Aantal overnachtingen: $Bank<br>
Opmerkingen of vragen: $Huisnummer <br>
<br><br><br>
<br>

"

, $header_info);
}


?>



aangezien ik zeer beperkt php kennis heb vraag ik jullie, hoe krijg ik dit bovenstaande "veilig"?
 
PHP hulp

PHP hulp

23/11/2024 20:16:50
 
Wouter J

Wouter J

28/04/2011 11:03:15
Quote Anchor link
Even wat punten:
- Regel 3 tot en met 21 zijn onnodig. Variabelen kopieren kost alleen meer tijd en het is van de rest geen verschil.
- Bekijk of de velden zijn ingevuld, door isset of empty te gebruiken.
- Variabelen moeten buiten quotes, dus bijv. 'Voornaam: $Voornaam<br>' is fout en dat moet zijn: 'Voornaam: '.$Voornaam.'<br>'
- Mail injection is mogelijk
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 11:03:41
Quote Anchor link
Heeft je hosting zelf verteld wat er onveilig aan is?

Het komt er op neer dat header-injection mogelijk is, waarmee mensen kunnen spammen. Wat ik je kan aanraden is om een mail-class te gebruiken zoals phpMailer of Swiftmailer.

Als ik nog een opmerking mag geven: Het overschrijven van variabelen in de regelnummers 3 t/m 21 is gewoon overbodig. Je kan de $_POST variabelen altijd direct in je script gebruiken.
 
Co Vanenwijk

Co Vanenwijk

28/04/2011 11:17:04
Quote Anchor link
Wouter J op 28/04/2011 11:03:15:
Even wat punten:
- Regel 3 tot en met 21 zijn onnodig. Variabelen kopieren kost alleen meer tijd en het is van de rest geen verschil.


Oke, maar zoals het er staat is het niet "onveilig" ??

Quote:
- Bekijk of de velden zijn ingevuld, door isset of empty te gebruiken.

Het formulier zelf (dat gebouwd met flash is) controleert op lege velden.

Quote:
- Variabelen moeten buiten quotes, dus bijv. 'Voornaam: $Voornaam<br>' is fout en dat moet zijn: 'Voornaam: '.$Voornaam.'<br>'

oke, ik ga dit aanpassen..

Quote:
- Mail injection is mogelijk


que?
ik ga even google raadplegen op mail injection
Gewijzigd op 28/04/2011 11:17:32 door Co Vanenwijk
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 11:28:32
Quote Anchor link
Quote:
Oke, maar zoals het er staat is het niet "onveilig" ??

Is alleen maar overbodig..

Quote:
Het formulier zelf (dat gebouwd met flash is) controleert op lege velden.

En daar dienen isset() en empty() voor.

Quote:
ik ga even google raadplegen op mail injection


Kort samengevat komt het er op neer dat buitenstaanders zelf mail-headers kunnen toevoegen en aanpassen door deze in je bericht-veld in te vullen. Zo ken er een hele spamrun naar anderen gestart worden vanaf je contactformulier.
 
Co Vanenwijk

Co Vanenwijk

28/04/2011 11:49:21
Quote Anchor link
Ik heb inderdaad wat gevonden met google

Injection dmv:

[email protected]%0ACc:[email protected]%0ABcc:[email protected],[email protected]

invoeren in het emailveld.

ik heb de bovenstaande email adressen veranderd door emailadressen van mijzelf.
Echter krijg ik ze niet binnen, dus ga er vanuit dat ze niet verzonden worden.

in het flash formulier staat ook het volgende:


================
} else if (!e_mail.length || e_mail.indexOf("@") == -1 || e_mail.indexOf(".") == -1) {
result = "Vul een geldig Email adres in";
================

zou dit voldoende zijn?

De Support van Mijndomein zegt alleen maar dat hij onveilig is... niet waar het hem inzit...

:@ ;)
 
- Ariën  -
Beheerder

- Ariën -

28/04/2011 12:07:26
Quote Anchor link
Je moet gewoon een goede mailclass zoals phpMailer of SwiftMailer gebruiken.
 
John D

John D

28/04/2011 12:15:58
Quote Anchor link
Co Vanenwijk op 28/04/2011 11:49:21:
De Support van Mijndomein zegt alleen maar dat hij onveilig is... niet waar het hem inzit...
Toch aandringen bij je hosting support om meer informatie te krijgen. Pas dan kan je gericht oplossen naar hun eisen/wensen. Nu blijft het gissen en wellicht hebben zij een verkeerd idee over bepaalde code. Het zal best wel mail-injection zijn maar laat ze dat dan even duidelijk zeggen ipv het domme en nietzeggende "niet veilig"
 
Dirk Renes

Dirk Renes

28/04/2011 16:05:56
Quote Anchor link
iets van een mail injectie gebruiken?
Gewijzigd op 28/04/2011 16:06:56 door Dirk Renes
 
Niels K

Niels K

28/04/2011 16:41:01
Quote Anchor link
Wat bedoel je Dirk? Mail injections moet je niet gebruiken je moet jezelf er tegen beschermen: mail injections
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.