wat is het veiligst?
Tony Tony
22/03/2015 17:19:50Eerst en vooral bedankt iedereen voor de tips, ik heb vorige week mijn examen gedaan, en behaalde 80% . het ging om het functioneren van de site en de integratie van de database.
De beveiliging is een andere module.
Ik heb op mijn website een database met de gebruikers die zich geregistreerd hebben. ik heb hen de mogelijkheid gegeven om hun gegevens aan te passen. in dit formulier heb ik de variabele "toegangslevel" weggelaten.
Deze aangepaste gegevens worden met de methode POST terug naar de database gestuurd. Is dit veilig? Kan er zo iemand met kennis zichzelf een ander toegangslevel toekennen?
De beveiliging is een andere module.
Ik heb op mijn website een database met de gebruikers die zich geregistreerd hebben. ik heb hen de mogelijkheid gegeven om hun gegevens aan te passen. in dit formulier heb ik de variabele "toegangslevel" weggelaten.
Deze aangepaste gegevens worden met de methode POST terug naar de database gestuurd. Is dit veilig? Kan er zo iemand met kennis zichzelf een ander toegangslevel toekennen?
PHP hulp
24/11/2024 23:43:01Zolang je niet de waarde in de query aan kan passen, en dat je ook zorgt dat er geen SQL-injection mogelijk is, dan is het veilig.
- SanThe -
22/03/2015 17:47:07Als dat niet in het formulier zit en als je dat in de update query niet verandert lijkt het mij wel okee.
Thomas van den Heuvel
22/03/2015 18:53:13We kunnen er in ieder geval weinig over zeggen als je geen code laat zien.
Iets waar je waarschijnlijk ook rekening mee moet houden: is je "verwerkstap" ook afgeschermd? Als dit niet het geval is kan ik weliswaar niet het gebruikerslevel aanpassen, maar misschien kan ik via een CSRF (Cross Site Request Forgery - kort door de bocht, ik submit vanaf mijn site een formulier naar jouw site) gegevens van jouw account overschrijven en daarmee je account kapen. En als jij dan net een admin bent ofzo... missie geslaagd.
Manipulatie via queries is niet de enige manier om in te breken.
EDIT: Oh, en nog gefeliciteerd natuurlijk.
Iets waar je waarschijnlijk ook rekening mee moet houden: is je "verwerkstap" ook afgeschermd? Als dit niet het geval is kan ik weliswaar niet het gebruikerslevel aanpassen, maar misschien kan ik via een CSRF (Cross Site Request Forgery - kort door de bocht, ik submit vanaf mijn site een formulier naar jouw site) gegevens van jouw account overschrijven en daarmee je account kapen. En als jij dan net een admin bent ofzo... missie geslaagd.
Manipulatie via queries is niet de enige manier om in te breken.
EDIT: Oh, en nog gefeliciteerd natuurlijk.
Gewijzigd op 22/03/2015 19:05:38 door Thomas van den Heuvel