login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Beveiliging

Offline Stijn - 18/08/2005 16:33 (laatste wijziging 18/08/2005 16:33)
Avatar van StijnPHP expert hallo

Ik kan nu al reeds lang PHP maar ik heb altijd vragen qua beveiliging. Hoe kan je het best je PHP scripts beveiligen? Ik ben geen hacker en dus roep ik tegen de hackers: Hoe doen jullie dat? Als ik die methoden ken/leer kan ik ook daar ook iets voor schrijven zodat die methode niet wordt gebruikt 

Misschien dat iemand van crew kan vertellen hoe zij hun site beveiligen 

ps: ik zoek hackers geen crackers, die mogen verder doen met wat ze bezig zijn 

Dank je, het zou echt een handige informatiebron zijn 

6 antwoorden

Gesponsorde links
Offline zointer - 18/08/2005 16:43
Avatar van zointer HTML gevorderde heb deze al bekeken php.net Hoofdstuk 16. Security
Offline Voldemort - 18/08/2005 16:44 (laatste wijziging 18/08/2005 16:56)
Avatar van Voldemort PHP ver gevorderde Op PHPFreakz staat een heel erg uitgebreid artikel over beveiliging:

http://www.phpfreakz.com/artikelen.php?aid=106
Offline Rens - 18/08/2005 17:04
Avatar van Rens Gouden medaille

Crew algemeen
http://secureph.../Main_Page (stond bij php.net)

Een site die gaat over beveiliging.
Je vind er vanalles, bijv. cross site scripting, SQL Injection.
Offline Legolas - 18/08/2005 17:19 (laatste wijziging 18/08/2005 17:19)
Avatar van Legolas Onbekend Je vergeet het snel, en ik geef twee tips:

1: Gebruik altijd bij de querystring ID's, en controleer daar altijd op Is_Numeric()
2: Doe altijd AddSlashes() op je geposte formulieren als je ze in DB zet.
Offline Stijn - 18/08/2005 17:33
Avatar van Stijn PHP expert interessant ik zal eens die artikels lezen maar pft, moet nog een handleiding lezen van 182 pagina's 

Maar zijn er bepaalde dingen die je bv in de URL kan tikken waardoor je bepaalde code kan veranderen ofzo?
Offline Rens - 18/08/2005 17:42
Avatar van Rens Gouden medaille

Crew algemeen
Jah, bij SQL Injection.
Als iemand iets uit de url haalt, en dat regelrecht in een query zet.
Voorbeeld:

  1. <?PHP
  2. $sQuery = "SELECT * FROM leden WHERE username='".$_POST['username']."' AND password='".$_POST['password']."'";
  3. // uitvoeren en zo
  4. ?>

Als er dan gewoon een username en password worden ingevuld, niet veel aan de hand.
Maar als er een ' in de username/password staat begint het ge*** pas echt.

Bijvoorbeeld:
Iemand vult dit in:
username: Rensjuh
password: 'a OR 1='1

Dan krijg je volgende query:
$sQuery = "SELECT * FROM leden WHERE username='Rensjuh' AND password='a' OR 1='1';

Oftewel:
ophalen waar username=Rensjuh en wachtwoord=a OF 1=1

Dus je logt altijd in, als er een user is met de naam Rensjuh.
Wachtwoord=a OF 1=1: of het wachtwoord is a, of 1 is gelijk aan 1.
Dus die geeft altijd true, ook al is het wachtwoord geen a.
1=1 levert altijd true.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.172s