Php/mysql programmeur gezocht voor programmeren script
Functie eisen: kennis van de nieuwste php/mysqli technieken
Contractbasis: freelance
Budget: +/- 700,-
Contact: via form of mailen aan [email protected] (Kees Mulder)
Toelichting:
Ik ben opzoek naar een php/mysqli programmeur die me kan helpen met een filter optie te bouwen. Ik heb een op mijn website maar van mijn hosting hoor ik dat deze regelmatig door derden wordt aangevallen. Ze proberen in te breken op de dbase dmv SQL-injection en ze voeren MySQL Sleep-aanvallen.
Met het filteren gebruik ik bijvoorbeeld: if (!empty($_GET['tekst']; en een pagination waardoor ik last heb van Cross Site Scripting (XSS).
Het gaat alleen om het schrijven van de filter optie. Het ontwerp en design van de website is niet nodig.
Gewijzigd op 23/12/2020 21:26:14 door Kees Mulder
Alle SQL queries moeten worden nalopen, vooral diegene waar gegevens uit $_GET, $_POST, $_COOKIE en $_REQUEST worden gebruikt. Want daar gaat blijkbaar iets mis: de gegevens worden door MySQL herkend als SQL code, en niet als gegevens.
Je kunt mysqli_real_escape_string() gebruiken, maar dan moet je extra goed letten op het gegevenstype.
Je kunt ook overal prepared statemens gebruiken. Om de lengte van de nieuwe code te beperken kan je gebruik maken van het idee van mysqli_query_params(), op deze site in de sectie PHP scripts.
Hetzelfde geldt voor XSS: als je gegevens van derden zonder maatregel toont op je website, kan het zijn dat een deel van die gegevens door de browser wordt gezien als (JavaScript) code die moet uitgevoerd. Je kunt dat simpel voorkomen door de gegevens door de functie htmlentities() te halen.
Als je er niet het geduld of de tijd voor hebt kan je het natuurlijk aan een ander overlaten. Maar dan weet je in ieder geval waar je voor betaalt.