Reacties op het script Duiklogboek (registreer je duiken)
|
|
 Gepost op: 13 oktober 2009 - 18:43 |
|
|
|
PHP expert
|
Mooi script en een origineel concept, mooi zo!
Keep up the good work  |
|
|
|
|
| Gepost op: 14 oktober 2009 - 10:26 |
|
|
|
MySQL interesse
|
if (isset($_GET['verwijderen_def'])) {
$verwijderen_def = $_GET['verwijderen_def'] ;
$sql = 'DELETE FROM logboek WHERE id ='.$verwijderen_def.'' ;
mysql_query($sql);
}
if (isset($_GET['verwijderen_def'])) { $verwijderen_def = $_GET['verwijderen_def'] ; $sql = 'DELETE FROM logboek WHERE id ='.$verwijderen_def.'' ; }
Verschillende keren niet mysql_injectie_veilig ? |
|
|
|
|
| Gepost op: 14 oktober 2009 - 11:29 |
|
|
|
PHP interesse
|
Hoi Jaronneke,
Het admin gedeelte dient ook beveiligd te worden door bv. een .htaccess (zoals beschreven in de install.txt)
In dat geval hebben alleen mensen met goede bedoelingen toegang tot het script en lijkt me een aanval van mysql_injectie ook erg onwaarschijnlijk. Ik zal binnenkort het script aanpassen.
In ieder geval bedankt voor de oplettendheid. Als je nog meer (vreemde) dingen ziet laat het even weten dan wijzig ik dat ook meteen.
Thanks! |
|
|
|
|
| Gepost op: 14 oktober 2009 - 15:51 |
|
|
|
PHP expert
|
Zeer handig script, ga het misschien zelf gebruiken voor persoonlijk gebruik  . |
|
|
|
|
| Gepost op: 14 oktober 2009 - 15:53 |
|
|
|
PHP interesse
|
| Kijk een echte duiker :-D |
|
|
|
|
| Gepost op: 15 oktober 2009 - 17:58 |
|
|
|
Crew PHP
|
| ook een admin kan per ongelijk een ' typen, dan gaat het ook fout en het is een goede gewoonte gewoon altijd veilig maken voor wie dan ook. Stel dr komt een grapjurk achter om 1 of andere reden-> probleem |
|
|
|
|
| Gepost op: 16 oktober 2009 - 14:57 |
|
|
|
MySQL interesse
|
Nog een aanvulling op mijn reactie:
Waarom doe je na $verwijderen_def nog een .'' ; ? alleen een ; was voldoende geweest. Zet verder ook de vars BINNEN quotes
<?php
$sql = 'DELETE FROM logboek WHERE id ='.$verwijderen_def.'' ;
mysql_query($sql);
?>
<?php $sql = 'DELETE FROM logboek WHERE id ='.$verwijderen_def.'' ; ?>
Verder zou fout afhandeling ook fijn zijn.
<?php
$sql = 'DELETE FROM logboek WHERE id ="'.mysql_real_escape_string($verwijderen_def).'"';
if (!mysql_query($sql))
{
echo 'Er ging iets mis!';
}
?>
<?php { echo 'Er ging iets mis!'; } ?>
Dit is echter een tip, vat het niet negatief op .
Je script vind ik verder top! |
|
|
|
|
| Gepost op: 16 oktober 2009 - 15:06 |
|
|
|
PHP interesse
|
Dag iedereen,
Ik heb het script beveiligd tegen Mysql Injectie en ook heb ik een foutafhandeling voor de queries toegevoegd (bedankt: Jaronneke )
Kortom volgens mij moet het nu allemaal goed staan! Natuurlijk houd ik me altijd aanbevolen voor suggesties of uitbreidingen.
Grtzz
Jelte
|
|
|
| Enkel aanvullende informatie, vragen en antwoorden op vragen zijn welkom. |
|
|
|
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
