Veiligheid bij nieuwssysteem
Ik ben bezig om een klein nieuws systeempje te maken. Maar nu had ik wat vragen over de veiligheid. Het is alleen voor mezelf dus geen users via een database etc. dus geen reactie systeem. Maar nu komt het. Ik maak er natuurlijk wel een klein inlog systeempje bij. Je moet dan inloggen via een formulier daarin kunnen ze een Javascipt Inject doen. Maar als ik dan dit doe?
$naam = htmlentities($_POST['naam'];
Maar omdat alleen ik er zegmaar in kan hoef ik nit helemaal bij een nieuw nieuwsbericht de query:
$sql - "INSERT INTO nieuws (naam) VALUES ('" . mysql_real_escape_string($_POST['naam']) . "')");
Er kunnen fouten inzitten maar een voorbeeld dan. Maar dit hoeft niet perse het zou wel handig zijn maar niet perse?
Alvast bedankt
OmarM
De functie htmlentities() gebruik je nadat je data uit de database opgehaald hebt en je gegevens naar de browser gaat sturen. Dan is het namelijk van belang om de html karakters om te zetten zodat ze niet door de browser uitgevoerd worden.
Wijk hier nooit vanaf, ook als het enkel voor jezelf is. Veiligheid is nu eenmaal het belangrijkste dat gegarandeerd moet zijn in een script.
In iedergeval ik snap hem!
Ik heb nog een andere vraag.
Ik ben zoals je al leest in de eerste post bezig met een nieuws systeem. Alleen nu wil ik een soort archief maken waar je alle nieuws berichten kan zien. Dus een pagina en daarop zie je alle titels als je erop klikt kom je bij dat nieuws.
Alleen hoe maak ik dat? Met de GET functie?
OmarM
Blanche schreef op 11.07.2008 22:06:
Alle nieuwsberichten sla je uiteraard op in de database. Dus op die pagina selecteer je al die berichten en toon je ze, GET variabelen zijn hebben daar dus niet direct iets mee te maken.
De gebruik je in de link naar het artikel. Dus zoals artikel.php?item=12 Dit is dan weer op te vragen in het script van artikel.php als GET variabele.