Tijden veranderen
'Wachtwoord vergeten' werkt niet (resetten)
Gaat waarschijnlijk om de functie function Reset_Password.
Hij ziet het 'process' niet waardoor er geen reset plaatsvindt.
Het sturen van de email gaat prima.
De code wordt netjes opgeslagen.
Komt ook overeen met de code die per email werd opgenomen.
Er wordt netjes overgeschakeld om het nieuwe wachtwoord in te vullen.
En dan houdt het op.
Want komt if(isset($process)) niet door.
Heb al van alles geprobeerd. Maar ik vind geen vreemde zaken.
Zelfde gebeurt ook bij 'Gebruikersnaam vergeten'.
Iemand advies?
Hier belangrijkste stukken uit de scripts:
PAGINA FORGOT_PASSWORD:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
include_once 'processes.php';
$Login_Process = new Login_Process;
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
?>
<body>
<?php
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="code" type="hidden" id="code" value="<?php $_GET['code']; ?>" >
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</form>
<?php
}
?>
include_once 'processes.php';
$Login_Process = new Login_Process;
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
?>
<body>
<?php
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="code" type="hidden" id="code" value="<?php $_GET['code']; ?>" >
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</form>
<?php
}
?>
VERWERKING IN PROCESSES:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
function Forgot_Password($get, $post) {
$code = $_POST['code'];
if(!$code) {
$code = $_GET['code']; }
$code2 = $i->get(CODE);
if ($code === $code2)
{
return "<!-- !-->";
break;
}
}
function Request_Password($post, $process) {
if(isset($process)) {
echo $i->set(CODE,$code);
Mail_Reset_Password($name, $code, $email);
return "Er is een email verstuurd. Hiermee kun je het wachtwoord resetten.";
}
}
function Reset_Password($post, $process) {
if(isset($process)) {
$code = "";
$password_hash = $pass1;
echo $i->set(CODE,$code);
echo $i->set(PASSWORD_HASH,$password_hash);
Mail_Reset_Password_Confirmation($name, $email);
return "Wachtwoord is gewijzigd. Je kunt nu inloggen.";
}
}
$code = $_POST['code'];
if(!$code) {
$code = $_GET['code']; }
$code2 = $i->get(CODE);
if ($code === $code2)
{
return "<!-- !-->";
break;
}
}
function Request_Password($post, $process) {
if(isset($process)) {
echo $i->set(CODE,$code);
Mail_Reset_Password($name, $code, $email);
return "Er is een email verstuurd. Hiermee kun je het wachtwoord resetten.";
}
}
function Reset_Password($post, $process) {
if(isset($process)) {
$code = "";
$password_hash = $pass1;
echo $i->set(CODE,$code);
echo $i->set(PASSWORD_HASH,$password_hash);
Mail_Reset_Password_Confirmation($name, $email);
return "Wachtwoord is gewijzigd. Je kunt nu inloggen.";
}
}
Toevoeging op 05/12/2017 15:11:47:
Eindelijk gevonden na het doorlezen van mijn topic...
Was de echo vergeten bij $_GET.....
Je zou bovenin je script dit kunnen doen:
Code (php)
Gewijzigd op 05/12/2017 20:39:07 door Jan Koehoorn
Quote:
Je kunt isset niet gebruiken om binnen een functie te kijken of een variabele buiten die functie geset is.
Dat gebeurt dan ook niet ;) script2:28 $process word geset als tweede argument van de functie die gecalled word in script1:6. Wat inderdaad niet weg neemt dat je even je post moet controlleren met bijvoorbeeld een print_r($_POST) op regel 3 van script 1
Bijvoorbeeld:
Code (php)
1
2
3
2
3
<?php
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
?>
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
?>
$_GET en $_POST zijn superglobals: variabelen die overal en altijd beschikbaar zijn. Die hoef je dus niet door te geven.
Dan toch maar even kijken waarom ze dan worden doorgegeven:
Code (php)
Hmm, onleesbaar. Eerst even fatsoeneren:
Code (php)
Hé, deze functie heeft twee vereiste parameters $get en $post, maar die worden in de functie helemaal niet gebruikt! De functie gebruikt $_GET en $_POST, maar negeert $get en $post.
De functie heeft wel een object $i, maar waar komt dat dan vandaan?
Raadselachtig, maar de return "<!-- !-->"; maakt de mystiek compleet: een functie voor een vergeten wachtwoord retourneert HTML, maar wel HTML die verborgen moet blijven.
Wáárom? Nou daarom:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="code" type="hidden" id="code" value="<?php $_GET['code']; ?>" >
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</form>
<?php
}
?>
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="code" type="hidden" id="code" value="<?php $_GET['code']; ?>" >
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</form>
<?php
}
?>
Dus deze magische "Sesam, open u" "<!-- !-->" betekent eigenlijk zoiets als true.
Dude…
Je kan die regel gewoon weglaten, met een lege action (action="") maak je al duidelijk dat de afhandeling van je je request in het zelfde bestand gebeurt.
Edit: Typo
Gewijzigd op 06/12/2017 12:13:31 door - Ariën -
Bovenstaande code (van topicstarter) is weer min of meer een typisch voorbeeld van ik-moet-iets-doen-dus-doe-ik-alles-maar-tegelijk :). Doet me altijd denken aan Kinder surprise (maar dat zijn drie dingen!).
Logisch gezien moeten er twee (of wellicht vier) dingen gebeuren:
- het aanvragen voor het resetten van het wachtwoord (formulier + verwerking)
- het daadwerkelijk resetten van het wachtwoord (formulier + verwerking)
Scheid elk van deze stappen.
Het voordeel van het scheiden van deze stappen is in eerste instantie overzicht. Maar het maakt ook debuggen een stuk makkelijker door alles in hapklare brokken op te delen. Is er iets mis in de functionaliteit kun je vrij snel direct inzoomen op het probleem (en meestal ook de oorzaak) zonder ruis van allerlei andere functionaliteit die hier doorheen aan het jodelen is...
Gewijzigd op 06/12/2017 11:58:58 door Thomas van den Heuvel
Alles wordt netjes doorgegeven, en ook geblokkeerd wanneer ik regels weglaat.
Is weliswaar oud script wat ik helemaal omgebouwd heb.
En Arien, die regelwijIging heb ik ook wel uitgevoerd, maar even verwijdered,
Omdat daarna problemen ontstonden.
Niet daardoor dus, haha.
Bedankt voor de reacties.
Ik zou zeggen ... lees de opmerkingen van Ward nog eens heel goed door.
Gewijzigd op 06/12/2017 15:39:22 door - Ariën -
Was een oude inlog/registratie class, die ik al eerder had gebruikt.
Nu niet zoveel meer van over.
Ik heb ook wel geprobeerd met wat meer zaken te verwijderen of te veranderen.
Maar zo werkt het prima....
Heb er wel beperkt aantal keren inloggen aan toe gevoegd, en beperkte IP-controle.
Werk met 1 session code. Waar oude script alle persoonlijke gegevens in sessions gooide.
En ook andere opties toegevoegd.
Registratie is grotendeels klaar.
Was nu bezig te kijken naar wijzigen zonder ingelogd te zijn (geweest).
Dat kan bijv. gebeuren bij wachtwoord vergeten.
Daar kwam ik nog wat dingen tegen.
DIT IS DE PAGINA VERGETEN WACHTWOORD
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
<?php
include_once 'processes.php';
$Login_Process = new Login_Process;
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
?>
<body>
<?php
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<div class ="right" style="margin-top:-8px; margin-right: 5px;"><a href= "#" onclick ='rename(); window.location ="main.php"'>Log In</a></div>
<h1>Reset Password</h1>
<div id ="red" <div id="red" style = "height: 30px; text-align: center;"><?php echo $Check.$Reset ?></div>
<div class="label" style="margin-left: 175px;">Nieuw wachtwoord:</div>
<div align="center"><input name="pass1" type="password" class="field" onfocus = "opmerking('min- 6-24 tekens. 1 x hoofdletter, 1 x kleine letter, 1 x cijfer')"></div>
<div class="label" style="margin-left: 175px;">Herhaal nieuw wachtwoord:</div>
<div align="center"><input name="pass2" type="password" class="field"/></div>
<input name="code" type="hidden" id="code" value="<?php echo $_GET['code']; ?>" >
<br />
<br />
<br />
<div class="right" style="margin-right: 168px;">
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</div>
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<div class="right" style="margin-top:-8px; margin-right: 5px;"><a href= "#" onclick ='rename(); window.location ="main.php"'>Log In</a></div>
<h1>Verzoek wachtwoord resetten</h1>
<div id="red" <div id="red" style = "height: 30px; text-align: center;"><?php echo $Check.$Request; ?></div>
<div class="label" style="margin-left: 175px;">Email Adres:</div>
<div align="center"><input name="email" type="text" class="field" id="email" onfocus = "opmerking('Vul hier je email in waarmee je geregistreerd staat.')"><div>
<br />
<br />
<br />
<div class="right" style="margin-right: 168px;">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</div>
</form>
<?php
}
?>
include_once 'processes.php';
$Login_Process = new Login_Process;
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
?>
<body>
<?php
switch($Check) {
case "<!-- !-->":
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<div class ="right" style="margin-top:-8px; margin-right: 5px;"><a href= "#" onclick ='rename(); window.location ="main.php"'>Log In</a></div>
<h1>Reset Password</h1>
<div id ="red" <div id="red" style = "height: 30px; text-align: center;"><?php echo $Check.$Reset ?></div>
<div class="label" style="margin-left: 175px;">Nieuw wachtwoord:</div>
<div align="center"><input name="pass1" type="password" class="field" onfocus = "opmerking('min- 6-24 tekens. 1 x hoofdletter, 1 x kleine letter, 1 x cijfer')"></div>
<div class="label" style="margin-left: 175px;">Herhaal nieuw wachtwoord:</div>
<div align="center"><input name="pass2" type="password" class="field"/></div>
<input name="code" type="hidden" id="code" value="<?php echo $_GET['code']; ?>" >
<br />
<br />
<br />
<div class="right" style="margin-right: 168px;">
<input name="Reset" type="submit" value="Reset wachtwoord" id="Reset">
</div>
</form>
<?php
break;
default:
?>
<form action= <?php echo $_SERVER['PHP_SELF']; ?> method="post">
<div class="right" style="margin-top:-8px; margin-right: 5px;"><a href= "#" onclick ='rename(); window.location ="main.php"'>Log In</a></div>
<h1>Verzoek wachtwoord resetten</h1>
<div id="red" <div id="red" style = "height: 30px; text-align: center;"><?php echo $Check.$Request; ?></div>
<div class="label" style="margin-left: 175px;">Email Adres:</div>
<div align="center"><input name="email" type="text" class="field" id="email" onfocus = "opmerking('Vul hier je email in waarmee je geregistreerd staat.')"><div>
<br />
<br />
<br />
<div class="right" style="margin-right: 168px;">
<input name="Request" type="submit" value="Verzoek email reset wachtwoord" id="Request"/>
</div>
</form>
<?php
}
?>
DIT IS GEDEELTE VAN DE VERSCHILLENDE FUNCTIES IN DE CLASS:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
function Forgot_Password($get, $post) {
$code = $_POST['code'];
if(!$code) {
$code = $_GET['code']; }
// Hier worden de waarde $code vergeleken met de opgeslagen waarde $code2
if ($code === $code2)
{
return "<!-- !-->";
break;
}
function Request_Password($post, $process) {
if(isset($process)) {
// hier wordt de $code opgeslagen en email verstuurd met de $code;
}
}
function Reset_Password($post, $process) {
if(isset($process)) {
$code = $_POST['code'];
$pass = $_POST['pass1'];
$pass2 = $_POST['pass2'];
// Hier wordt de $code weer gereset in geheugen
// Hier wordt de mail verstuurd dat het wachtwoord is gewijzigd.
}
}
$code = $_POST['code'];
if(!$code) {
$code = $_GET['code']; }
// Hier worden de waarde $code vergeleken met de opgeslagen waarde $code2
if ($code === $code2)
{
return "<!-- !-->";
break;
}
function Request_Password($post, $process) {
if(isset($process)) {
// hier wordt de $code opgeslagen en email verstuurd met de $code;
}
}
function Reset_Password($post, $process) {
if(isset($process)) {
$code = $_POST['code'];
$pass = $_POST['pass1'];
$pass2 = $_POST['pass2'];
// Hier wordt de $code weer gereset in geheugen
// Hier wordt de mail verstuurd dat het wachtwoord is gewijzigd.
}
}
Gewijzigd op 06/12/2017 17:10:34 door Hans De Ridder
Code (php)
1
return "<!-- !-->";
Daar kunnen we dan vast wel een gepastere oplossing voor geven.
terecht komen in de bij elke pagina aanwezige div 'red'.
Bij elke return wordt de pagina herladen.
Bij de return "<!-- !-->" gebeurt hetzelfde.
Bij het herladen wordt er weer gekeken naar $Check en wordt het andere deel getoond
van de pagina. Denk dat het zo ongeveer werkt.
Ben nu aan het studeren wat ik nu moet verstaan onder uitgangen.
Ik heb tot nu toe aangenomen dat hetgene wat ik zelf laat neerzetten in beeld
een uitgang is.
Ingangen gaan door de validatie en dan wordt het opgeslagen.
Bij het uitlezen gebruik ik dan wat code om de data schoon te maken.
Maar die interpretatie gaat niet op, merk ik aan sommige reacties.
Bovendien zijn er nogal wat (slechte) voorbeelden.
Misschien is er iemand die de pagina van het inloggen wat kan vertimmeren als voorbeeld?
Code (php)
1
2
3
4
2
3
4
$Login_Process = new Login_Process;
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
$Check = $Login_Process->Forgot_Password($_GET, $_POST);
$Request = $Login_Process->Request_Password($_POST, $_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST, $_POST['Reset']);
Zit ook nog foutje in.
Want het nieuwe wachtwoord invullen gebeurt nu op nieuwe pagina.
Zodat er ineens twee pagina's open staan.
Het maakt wel uit of ik die regels gebruik.
Bij de $Check ging het goed.
Bij de andere wel de tweede $_POST['Request'] en $_POST[$_POST['Reset'] laten staan even.
Code (php)
1
2
3
2
3
$Check = $Login_Process->Forgot_Password();
$Request = $Login_Process->Request_Password($_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST['Reset']);
$Request = $Login_Process->Request_Password($_POST['Request']);
$Reset = $Login_Process->Reset_Password($_POST['Reset']);
Het had tot gevolg dat de nieuwe inputs geen waardes doorgaven meer.
Verder nog niet naar de oorzaak gekeken.
Toevoeging op 07/12/2017 00:31:23:
Ik heb de data nu verwijderd.
Het zou kunnen werken.
Alleen wordt de $Request nu direct gesubmit.
Er kwam bijv. direct de melding dat de email niet ingevuld was.
Dat kan pas na het posten.
Code (php)
1
2
3
2
3
$Check = $Login_Process->Forgot_Password();
$Request = $Login_Process->Request_Password();
$Reset = $Login_Process->Reset_Password();
$Request = $Login_Process->Request_Password();
$Reset = $Login_Process->Reset_Password();
Toevoeging op 07/12/2017 01:13:55:
Als volgt gewijzigd en werkend.
Maar nog wel met extra pagina:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
function Forgot_Password() {
........
}
function Request_Password() {
if(isset($_POST['Request']))
{
....
}
}
function Reset_Password() {
if(isset($_POST['Reset']))
{
....
}
}
........
}
function Request_Password() {
if(isset($_POST['Request']))
{
....
}
}
function Reset_Password() {
if(isset($_POST['Reset']))
{
....
}
}
EN OP DE PAGINA
Code (php)
1
2
3
2
3
$Check = $Login_Process->Forgot_Password();
$Request = $Login_Process->Request_Password();
$Reset = $Login_Process->Reset_Password();
$Request = $Login_Process->Request_Password();
$Reset = $Login_Process->Reset_Password();
Gewijzigd op 06/12/2017 21:16:45 door Hans De Ridder
Dus dat is nu klaar.
Misschien is er nog iemand die een voorbeeld kan geven over de in- en outputs.
Lees daar verschillend over oforums.
Gaat dan over gewone forminputs.
En over de pagina's waar info gegeven wordt via de inputs
Waar de een scriptje heeft vult een ander weer wat anders in.
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
// define variables and set to empty values
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
<form method="post" action="<?php echo htmlentities($_SERVER["PHP_SELF"]);?>">
PS reactie kan wat later komen... Ben paar dagen weg.
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
<form method="post" action="<?php echo htmlentities($_SERVER["PHP_SELF"]);?>">
PS reactie kan wat later komen... Ben paar dagen weg.
De test_input functie moet je gewoon weggooien, kun je niks mee. Ook gewoon niet zoiets doen dus.
Output is alles dat naar het scherm gegooid of je database gegooid wordt. Geen enkele variabele is betrouwbaar:
Code (php)
1
2
3
4
5
2
3
4
5
<?php
echo 'Dit is tekst die naar de browser gaat, met een GET: ' . htmlspecialchars($_GET['test']);
$sql = "SELECT title, description FROM test WHERE id = '" . mysqli_real_escape_string($db, $_GET['test']) . "'";
// hier je query
?>
echo 'Dit is tekst die naar de browser gaat, met een GET: ' . htmlspecialchars($_GET['test']);
$sql = "SELECT title, description FROM test WHERE id = '" . mysqli_real_escape_string($db, $_GET['test']) . "'";
// hier je query
?>
Je ziet hier al heel duidelijk waarom je je data niet onschadelijk moet proberen te maken. Verschillende doelen hebben verschillende eisen voor escaping.
Nogmaals: haal die test_input functie weg, doe zoiets NIET, NOOIT, NEVER. Alleen als je het idee al krijgt om zo'n functie te gebruiken moet je jezelf een klap geven. Stripslashes heb je sowieso nooit nodig, htmlspecialchars is alleen voor output. trim is eventueel nuttig, maar alleen voor de input waar dat voor geldt.
Input valideer je, maar muteer je niet. De enige mogelijke uitzondering is trim, maar dat is ook echt het enige. Je controleert dus of iets minimaal 3 tekens is, uit getallen bestaat, etc etc.
Begrijp ik het dan goed dat je in de form gebuikersinputs alleen valideert?
Daar worden de controles uitgevoerd waar een gegeven input aan moet voldoen.
Cijfers, letters, verboden tekens, bepaalde woorden bevattend, etc.)
En datgene wat in beeld verschijnt htmlspecialchars() doet.
En bij de $_GET ook htmlspecialchars()
En waar ergens in de form een action staat daar een htmlentities() wordt gedaan.
Ik gebruik (nog) geen gewone database.
Wel opslag van gegevens.
Voor jouw geval zul je moeten kijken welke escaping vereisten er zijn voor iptc, vermoedelijk is het helemaal niets omdat het pure metadata opslag is die niet geschikt is voor dataverwerking. Je vuurt er geen queries op af, het is puur data.
In de form kun je ook gewoon htmlspecialchars gebruiken of htmlentities, maar nog liever urlencode. Zet echter NOOIT PHP_SELF in je action, deze is te makkelijk beinvloedbaar. Wanneer je naar dezelfde pagina wilt verwijzen als waar je toch al bent gebruik je gewoon een leeg action attribuut.
Input valideer je alleen. Je controleert of het van het correcte formaat is (cijfers, letters, TOEGESTANE tekens, controleer nooit aan de hand van een blacklist maar met een whitelist). De data gaat zo ruw mogelijk naar opslag, dit kun je bij output altijd weer rechttrekken.
Ben van Velzen op 08/12/2017 01:04:40:
$_SERVER komt van buitenaf en is daarmee dus ook niet betrouwbaar.
Toch alleen de HTTP_* directives? Of nog meer? Desalniettemin blijft het een goede gewoonte om al deze data niet te vertrouwen, en dus te escapen.
Ben van Velzen op 08/12/2017 01:04:40:
In de form kun je ook gewoon htmlspecialchars gebruiken of htmlentities, maar nog liever urlencode.
Die volg ik even niet? $_POST en $_GET worden automatische ge-urldecode(). Het enige wat je ooit zou moeten encoden zijn (keys en values) van de querystring in een URL voor de action, maar voor de rest toch niet?
Ben van Velzen op 08/12/2017 01:04:40:
Zet echter NOOIT PHP_SELF in je action, deze is te makkelijk beinvloedbaar.
Maakte iemand hier laatst geen opmerking over, dat je veel beter SCRIPT_NAME (of iets anders?) kon gebruiken, omdat deze om te beginnen al een stuk minder corrumpeerbaar was? Nog steeds escapen. Of zelf handmatig de URL opbouwen. En dan nog steeds escapen :).