html-tips voor het maken van je site
(853 reacties. Pagina 36 van 86)Moderator(s): Dré
ReemskiVIP Lid Uit: Nederland Sinds: 22-10-2002 Laatste: 21-11-2024 Berichten: 1370 | 26-1-2005 08:46 |
Ja, als ik commentaar krijg op mijn code, dan moet er natuurlijk een weerwoord komen :-) .... Alleen het stukje van "kapen van een sessieID" snap ik niet helemaal. Er is geen sessieID bij dat stukje, en zo wel... boejuh. | |
DréAdministrator Uit: Nederland Sinds: 17-11-2001 Laatste: 22-11-2024 Berichten: 13474 | 26-1-2005 11:09 |
Nooit bestandsnamen in parameters (op wat voor manier dan ook). Herschrijf de code naar een CORRECTE manier zodat deze (slechte) manier niet nodig is. Dynamic includes zijn leuk MAAR dan wel op de goede manier (parameters altijd zoveel mogelijk gewoon uit getallen laten bestaan; zeker als het gaat om het dynamisch includen van bestanden). Dan maar een extra databasecall o.i.d. (die 1-2msec zie je bij een goede database toch niets meer van terug). | |
-- Pardon my French, I'm Dutch -- | |
Infected SoundsStandaard Lid Uit: Nederland Sinds: 24-2-2004 Laatste: 18-3-2008 Berichten: 295 | 26-1-2005 11:10 |
Ok, bedankt iedereen voor alle reacties, ik ga er aan werken! | |
Thanx Dré ! | |
ZzzzzzzzzzzzStandaard Lid Uit: Nederland Sinds: 25-6-2003 Laatste: 31-3-2011 Berichten: 45 | 26-1-2005 16:13 |
het kapen van een sessie kan gevaarlijk zijn wanneer er binnen hetzelfde domein met bijv. een cms gewerkt wordt welke cookies gebruikt voor het login systeem. Als je nu de beheerder (die vaak nog ingelogd is op zijn eigen website) op de een of andere manier zo gek krijgt om heb op een link te laten klikken die verwijst naar de slecht beveiligde pagina dan kun je (via een paar omweggetjes) de session id van de beheerder opslaan... Dat is niet prettig, want dan is het (met nogmeer omweggetjes) mogelijk om deze sessie over te nemen. En dan heb je dezelfde rechten als de beheerder van de website... Het is een methode die vrij lastig is en daardoor niet vaak gebruikt word. Je kunt er van uit gaan dat er niemand is die op deze manier een kleinere website wil kraken... Maar het is toch wel iets om rekeing mee te houden .Zeker wanneer je een loginsysteem hebt waarvan het niet gewenst is dat onbevoegde mensen met admin rechten aan de haal gaan. Het is natuurlijk onmogelijk om er voor te zorgen dat je website niet te kraken is, maar je kunt wel proberen het risico te minimaliseren. | |
blaat het niet dan schaapt het niet | |
Infected SoundsStandaard Lid Uit: Nederland Sinds: 24-2-2004 Laatste: 18-3-2008 Berichten: 295 | 26-1-2005 17:44 |
Nee, ik werk niet met een cms (wel gedaan) alleen met een klein news-posting systeempje. Bovendien, met deze code is het nu opgelost? | |
Thanx Dré ! | |
ZzzzzzzzzzzzStandaard Lid Uit: Nederland Sinds: 25-6-2003 Laatste: 31-3-2011 Berichten: 45 | 27-1-2005 11:30 |
Met de code van reemski ben je inderdaad van alle (mij bekende) problemen af... | |
blaat het niet dan schaapt het niet | |
Infected SoundsStandaard Lid Uit: Nederland Sinds: 24-2-2004 Laatste: 18-3-2008 Berichten: 295 | 27-1-2005 17:15 |
Alleen nu heb ik weer een probleem hij geeft een error bij: ---------------------------------------------------------------------- $include_file = ($_GET['pagina']!="") ? $_GET['pagina'] : "homepage" ; ---------------------------------------------------------------------- namelijk: Parse error: parse error, unexpected T_VARIABLE Het zal vast een stomme fout zijn, maar ik weet nog niet zoveel van phph af. | |
Thanx Dré ! | |
DréAdministrator Uit: Nederland Sinds: 17-11-2001 Laatste: 22-11-2024 Berichten: 13474 | 27-1-2005 18:43 |
Dan is het zaak je daarin te verdiepen OF het aan een ander over te laten. Het is nooit aan te raden dingen "half" te doen... Dus lezen maar... | |
-- Pardon my French, I'm Dutch -- | |
ReemskiVIP Lid Uit: Nederland Sinds: 22-10-2002 Laatste: 21-11-2024 Berichten: 1370 | 27-1-2005 18:49 |
Oh, en wat ik daar doe is een verkort 'if' statement. Dus: www.php.net Edit: Trouwens.. Waarschijnlijk zit je fout voor deze regel. Wellicht ; vergeten ? | |
Infected SoundsStandaard Lid Uit: Nederland Sinds: 24-2-2004 Laatste: 18-3-2008 Berichten: 295 | 27-1-2005 19:25 |
Hmm, ben er al achter: ik had namelijk <? php ipv <?php Alleen nu werkt het scriptje opeens niet meer... | |
Thanx Dré ! |