Veiligheid bij nieuwssysteem

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Omar M

Omar M

11/07/2008 20:28:00
Quote Anchor link
Hallo

Ik ben bezig om een klein nieuws systeempje te maken. Maar nu had ik wat vragen over de veiligheid. Het is alleen voor mezelf dus geen users via een database etc. dus geen reactie systeem. Maar nu komt het. Ik maak er natuurlijk wel een klein inlog systeempje bij. Je moet dan inloggen via een formulier daarin kunnen ze een Javascipt Inject doen. Maar als ik dan dit doe?

$naam = htmlentities($_POST['naam'];

Maar omdat alleen ik er zegmaar in kan hoef ik nit helemaal bij een nieuw nieuwsbericht de query:

$sql - "INSERT INTO nieuws (naam) VALUES ('" . mysql_real_escape_string($_POST['naam']) . "')");

Er kunnen fouten inzitten maar een voorbeeld dan. Maar dit hoeft niet perse het zou wel handig zijn maar niet perse?

Alvast bedankt

OmarM
 
PHP hulp

PHP hulp

22/12/2024 14:06:15
 
Joren de Wit

Joren de Wit

11/07/2008 20:36:00
Quote Anchor link
Wees voor jezelf altijd consequent. De functie mysql_real_escape_string() gebruik je altijd voordat je gegevens naar de database schrijft, dus ook als het enkel voor jezelf is!

De functie htmlentities() gebruik je nadat je data uit de database opgehaald hebt en je gegevens naar de browser gaat sturen. Dan is het namelijk van belang om de html karakters om te zetten zodat ze niet door de browser uitgevoerd worden.

Wijk hier nooit vanaf, ook als het enkel voor jezelf is. Veiligheid is nu eenmaal het belangrijkste dat gegarandeerd moet zijn in een script.
 
Omar M

Omar M

11/07/2008 21:19:00
Quote Anchor link
Je hebt gelijk. Zoals ik veilig script moet ik altijd scipten.

In iedergeval ik snap hem!

Ik heb nog een andere vraag.

Ik ben zoals je al leest in de eerste post bezig met een nieuws systeem. Alleen nu wil ik een soort archief maken waar je alle nieuws berichten kan zien. Dus een pagina en daarop zie je alle titels als je erop klikt kom je bij dat nieuws.

Alleen hoe maak ik dat? Met de GET functie?

OmarM
 
Joren de Wit

Joren de Wit

11/07/2008 22:06:00
Quote Anchor link
Alle nieuwsberichten sla je uiteraard op in de database. Dus op die pagina selecteer je al die berichten en toon je ze, GET variabelen zijn hebben daar dus niet direct iets mee te maken.
 
Ed

Ed

11/07/2008 22:57:00
Quote Anchor link
Blanche schreef op 11.07.2008 22:06:
Alle nieuwsberichten sla je uiteraard op in de database. Dus op die pagina selecteer je al die berichten en toon je ze, GET variabelen zijn hebben daar dus niet direct iets mee te maken.

De gebruik je in de link naar het artikel. Dus zoals artikel.php?item=12 Dit is dan weer op te vragen in het script van artikel.php als GET variabele.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.