Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

Beveiliging

X3ore - 18/09/2006 23:04

HTML interesse

Hoi

Ik beveilig mijn admin via deze functie:

php code - Bekijk de code zonder highlighting - Klap code in

<?
function beveiliging($beveiliging){
	if(empty($_COOKIE['gebruikersnaam'])){
		header("location: ?source=home");
	}
	else {
		$select = "SELECT * FROM gebruikers_systeem WHERE gebruikersnaam = '".$_COOKIE['gebruikersnaam']."'";
		$query = mysql_query($select)or die(mysql_error());
		$aantal = mysql_num_rows($query);

		if($aantal == "0"){
			header("location: ?source=home");
		}
		else{
			$list = mysql_fetch_object($query);
			if($beveiliging == "1"){
				if($list->status != "Administrator"){
					header("location: ?source=home");
				}
				else {
					//Toegang :)
				}
			}
			elseif($beveiliging == "2"){
				if($list->status != "Administrator" && $list->status =! "Gebruiker"){
					header("location: ?source=home");
				}
				else {
					//Toegang :)
				}
			}
			else {
				header("location: ?source=home");
			}
		}
	}
}

<?
function beveiliging($beveiliging){
	if(empty($_COOKIE['gebruikersnaam'])){
		header("location: ?source=home");
	}
	else {
		$select = "SELECT * FROM gebruikers_systeem WHERE gebruikersnaam = '".$_COOKIE['gebruikersnaam']."'";
		$query = mysql_query($select)or die(mysql_error());
		$aantal = mysql_num_rows($query);
 
		if($aantal == "0"){
			header("location: ?source=home");
		}
		else{
			$list = mysql_fetch_object($query);
			if($beveiliging == "1"){
				if($list->status != "Administrator"){
					header("location: ?source=home");
				}
				else {
					//Toegang :)
				}
			}
			elseif($beveiliging == "2"){
				if($list->status != "Administrator" && $list->status =! "Gebruiker"){
					header("location: ?source=home");
				}
				else {
					//Toegang :)
				}
			}
			else {
				header("location: ?source=home");
			}
		}
	}
}

Maar als ik deze actie bijvoorbeeld uitvoer zonder admin of ingelogd te zijn voert hij deze toch uit.

index.php?source=administratiepaneel&cat=3&beheer=gastenboek&actie=verwijderen&id=2&verzenden=ja

Hoe kan ik dit beveiligen?

2 antwoorden

Gesponsorde links

Wijnand - 19/09/2006 09:34
Moderator		Heb je de code waar deze functie wordt aangeroepen? Want een functie op zichzelf doet niets hé. Verder is het een idee om de else waar //toegang in staat weg te halen. Dit heeft geen enkele nut. Zo zitten er wel meer slordigheden in (bv "dubbele quotes").

Thomas - 19/09/2006 15:48 (laatste wijziging 19/09/2006 15:49)
Moderator		Een header wordt pas uitgevoerd nadat het HELE script is uitgevoerd. Als je dus zoiets hebt: php code - Bekijk de code zonder highlighting - Klap code in <?php if(!$ingelogd) { header("Location: somewhere_else.php"); } mysql_query("DROP TABLE whatever"); ?> <?php if(!$ingelogd) { header("Location: somewhere_else.php"); } mysql_query("DROP TABLE whatever"); ?> Dan wordt eerst je table whatever gedropt, en dan wordt je geredirect . Wat je dus moet doen is het script beeindigen nadat je header() hebt aangeroepen: php code - Bekijk de code zonder highlighting - Klap code in <?php if(!$ingelogd) { header("Location: somewhere_else.php"); exit(); // stoppen!!! } mysql_query("DROP TABLE whatever"); ?> <?php if(!$ingelogd) { header("Location: somewhere_else.php"); exit(); // stoppen!!! } mysql_query("DROP TABLE whatever"); ?> Als ik jou was, zou ik hier toch wat meer kaas van gaan eten, want het werkt niet echt in je voordeel als je je eigen beveiligingsmiddelen niet snapt.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten