login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Controleren

Offline SomaQan - 04/08/2007 03:16
Avatar van SomaQanPHP beginner Ik ben met een soort crew systeem bezig waarje crews kunt joinen als je een uitnodiging ontvangt.

Maar je hebt natuurlijk van die mensen die links gaan veranderen

Mijn Links
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <a href=uitnodiging.php?joinen=ja&gilde=".$ugildenaam."&id=".$id.">JA |</a> <a href=uitnodiging.php?joinen=nee&gilde=".$ugildenaam."&id=".$id.">Nee</a>


Script
php code - Bekijk de code zonder highlighting - Klap code in 
  1. if(isset($_GET['joinen']) && ($_GET['gilde']) && ($_GET['id'] == $id)){
  2. echo'U heeft het gilde gejoint!';
  3. mysql_query("INSERT INTO gilde_leden (gildnaam,gildlid)   
  4. VALUES ('".mysql_real_escape_string($_GET['gilde'])."','".$_SESSION['gebruiker_naam']."')") or die(mysql_error()); 
  5. }


Hoe kan ik er voor zorgen dat je niet in een gilde kan als je geen uitnodiging hebt ?

Want als ik nu zelf een link maak op me browser kan ik gewoon overaal in  

11 antwoorden

Gesponsorde links
Offline vinTage - 04/08/2007 03:18 (laatste wijziging 04/08/2007 03:21)
Avatar van vinTage Nieuw lid sjeesj...
zet in de "inviter" zn row het userID van de "genodigde", als dat niet klopt errortje geven.

edit:
,'".$_SESSION['gebruiker_naam']."'

en wat als mijn gebruikersnaam ";DROP TABLE gilde_leden" is 
Offline SomaQan - 04/08/2007 03:31
Avatar van SomaQan PHP beginner @Vintage, ik gebruik "get_magic_quotes_gpc" worden automatisch beveiligd
Offline Abbas - 04/08/2007 03:31
Avatar van Abbas Gouden medaille

Crew .NET
vinTage schreef:
en wat als mijn gebruikersnaam ";DROP TABLE gilde_leden" is
LOL
Offline vinTage - 04/08/2007 03:33
Avatar van vinTage Nieuw lid euhm, die quotes stonden er alleen om aan te geven wat de naam was, ik ben geen hacker/cracker, maar ik hoop dat je na 109 berichten wel snapt wat ik bedoel..
Offline SomaQan - 04/08/2007 03:35 (laatste wijziging 04/08/2007 03:35)
Avatar van SomaQan PHP beginner 110 komt morgen  
Offline vinTage - 04/08/2007 03:36 (laatste wijziging 04/08/2007 03:38)
Avatar van vinTage Nieuw lid
Citaat:
110 komt morgen

hopelijk niet over "hoe beveilig ik een session_name" (never mind the quotes )
Offline Abbas - 04/08/2007 03:38
Avatar van Abbas Gouden medaille

Crew .NET		 Waar blijft 'em het halen onze vinTage... ^^
Offline SomaQan - 04/08/2007 03:41
Avatar van SomaQan PHP beginner Zo bevelig ik ze dus

php code - Bekijk de code zonder highlighting - Klap code in 
  2. {
  3.  
  4.     $_POST    = array_map('htmlspecialchars',$_POST);
  5.     $_POST    = array_map('trim',$_POST);
  6.  
  7.     // get beveiligen en strippen
  8.     $_GET     = array_map('addslashes',$_GET);
  9.     $_GET     = array_map('trim',$_GET);
  10.  
  11. 	$_SESSION =  array_map('addslashes',$_SESSION);
  12.     $_SESSION = array_map('trim',$_SESSION);
  13.  
  14. }


Ik heb een RPG gemaakt nog fanatieke Testers hier ?
Offline vinTage - 04/08/2007 03:44 (laatste wijziging 04/08/2007 03:44)
Avatar van vinTage Nieuw lid test zelf door te registreren met een "dubieuze" naam.
in POST: array_map zie ik nog wel een gaatje...(nogmaals..geen hacker/cracker)
Offline SomaQan - 04/08/2007 03:52
Avatar van SomaQan PHP beginner En dat gaatje is ?
Offline vinTage - 04/08/2007 04:00
Avatar van vinTage Nieuw lid Dat je er alleen htmlentities over gooit, NOGMAALS ik ben geen hackker/cracker, maar ik weet zoieso van een site dat die gehacked is en de beheerder zeker zn berichten opslaat dmv htmlentities.

Ik heb ECHT geen idee hoe ze dat doen (die hackers) maar dmv bepaalde chars oid omzeilen ze de meest bekende beveiligingen.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.221s