wat is het veiligst?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Tony Tony

Tony Tony

22/03/2015 17:19:50
Quote Anchor link
Eerst en vooral bedankt iedereen voor de tips, ik heb vorige week mijn examen gedaan, en behaalde 80% . het ging om het functioneren van de site en de integratie van de database.
De beveiliging is een andere module.


Ik heb op mijn website een database met de gebruikers die zich geregistreerd hebben. ik heb hen de mogelijkheid gegeven om hun gegevens aan te passen. in dit formulier heb ik de variabele "toegangslevel" weggelaten.
Deze aangepaste gegevens worden met de methode POST terug naar de database gestuurd. Is dit veilig? Kan er zo iemand met kennis zichzelf een ander toegangslevel toekennen?
 
PHP hulp

PHP hulp

24/11/2024 23:43:01
 
- Ariën  -
Beheerder

- Ariën -

22/03/2015 17:43:09
Quote Anchor link
Zolang je niet de waarde in de query aan kan passen, en dat je ook zorgt dat er geen SQL-injection mogelijk is, dan is het veilig.
 
- SanThe -

- SanThe -

22/03/2015 17:47:07
Quote Anchor link
Als dat niet in het formulier zit en als je dat in de update query niet verandert lijkt het mij wel okee.
 
Thomas van den Heuvel

Thomas van den Heuvel

22/03/2015 18:53:13
Quote Anchor link
We kunnen er in ieder geval weinig over zeggen als je geen code laat zien.

Iets waar je waarschijnlijk ook rekening mee moet houden: is je "verwerkstap" ook afgeschermd? Als dit niet het geval is kan ik weliswaar niet het gebruikerslevel aanpassen, maar misschien kan ik via een CSRF (Cross Site Request Forgery - kort door de bocht, ik submit vanaf mijn site een formulier naar jouw site) gegevens van jouw account overschrijven en daarmee je account kapen. En als jij dan net een admin bent ofzo... missie geslaagd.

Manipulatie via queries is niet de enige manier om in te breken.

EDIT: Oh, en nog gefeliciteerd natuurlijk.
Gewijzigd op 22/03/2015 19:05:38 door Thomas van den Heuvel
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.