Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

xhmtlrequest beveiligen

gothmog - 10/09/2008 17:06
Lid		Hallo, Via xhtmlrequest roep ik een bestand aan en in dat bestand worden dingen geupdated in de database. Nu is het voor iemand met een beetje kennis hierin niet moeilijk om dat bestand op te sporen en uit te voeren met eigen gegevens. Hoe kan ik ervoor zorgen dat iemand dat niet zelf kan doen? Het gaat niet om het updaten van gevoelige gegevens, maar toch kan het irritant zijn als er rotzooi tussen wordt geplaatst. Hoop dat jullie een tip hebben.

9 antwoorden

Gesponsorde links

Wim - 10/09/2008 18:54
Crew algemeen		de referrer url uit $_SERVER halen....? zo zie je volgens mij vanwaar het bestand opgevraagd wordt, daar ben je volgens mij voldoend emee

Sitebase - 10/09/2008 21:55
PHP expert		De referer controleren heeft niet echt veel nut aangezein deze zeer gemakkelijk te spoofen is.

Rens - 10/09/2008 22:15
Crew algemeen		Je laat het bestand includen? Dan kun je voor de "include <file>" regel een DEFINE zetten. php code - Bekijk de code zonder highlighting - Klap code in <?PHP DEFINE("IS_CLEAR", true); include "file.php"; <?PHP DEFINE("IS_CLEAR", true); include "file.php"; En in file.php: php code - Bekijk de code zonder highlighting - Klap code in <?PHP if(!DEFINED("IS_CLEAR") \|\| IS_CLEAR !== true) { echo "error"; } else { // updaten } <?PHP if(!DEFINED("IS_CLEAR") \|\| IS_CLEAR !== true) { echo "error"; } else { // updaten }

Sitebase - 11/09/2008 13:12
PHP expert		@Rens: Hij wil het bestand met een xhtmlrequest(AJAX) aanroepen, niet includen.

Ontani - 11/09/2008 13:23
-1		Kan een sessie niet gedeeld worden over die verschillende pagina's? Daar kan je dan een variabele instellen die het mogelijk maakt om op te controleren.

Sitebase - 11/09/2008 16:51
PHP expert		Dat is inderdaad een mogelijkheid Ontani.

gothmog - 11/09/2008 17:16
Lid		@ontani, is mogelijk, maar hoe bouw je zon variabele dan op? Een session_id bijv is niet genoeg, aangezien diegene dan eerst naar de home-pagina kan gaan en daarna naar de betreffende pagina waarin wordt geüpdatet. Het session_id is dan aangemaakt en zal hetzelfde blijven in dat venster. Hetzelfde geldt voor een ander soort variabele die ik in een sessie zet. De variabele zou dan dus alleen moeten worden aangemaakt wanneer de persoon op een knop drukt, die moet in een sessie worden gezet zodat het te controleren valt... maar dat is onmogelijk. Hebben jullie nog tips?

Ontani - 11/09/2008 18:36
-1		Een unique variabele die slecht 1x gebruikt mag worden bijvoorbeeld. Opslaan in een tabel en kijken of die al voorgekomen is.

Wim - 11/09/2008 18:38
Crew algemeen		een sessie aanmaken vlak voor de request gedaan wordt...? zodat het niet te faken valt via een andere pagina?

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten