Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

08-06-2012, 15:21 door [Account Verwijderd], 5 reacties
[Verwijderd]
Reacties (5)
08-06-2012, 15:37 door Anoniem
Niet nuttig. Gewoon register_globals uitzetten en dan zou _GET en _POST geen enkele invloed op je local vars moeten hebben behalve als je het zelf expliciet assigned.
08-06-2012, 15:37 door SirDice
Door joey van hummel:
om bijvoorbeeld het kapen van variables d.m.v. GET of POST parameters tegen te gaan. Hoe nuttig is dit echt?
Hoe had je gedacht dat dit zou helpen?

Ik ga er even vanuit dat die "stuff" de, door de gebruiker, verstuurde data is?

Op het moment dat je met die data aan de slag gaat kan het evengoed nog mis gaan. Waar je precies die data, al dan niet tijdelijk, opslaat is niet zo relevant, het gaat er om wat er mee gebeurd.
08-06-2012, 15:44 door tegenlicht
Op het moment dat jij bij een variabele twee opties verwacht, dan is het makkelijk en handig om te checken. Je kunt daarvoor een simpele if constructie gebruiken met een else die automatisch aangeroepen wordt op het moment dat het niet klopt.

voorbeeld:



if($_POST['variabele'] == 1 ){
// doet iets
}
else if ($_POST['variabele'] == 2){
// doe ook iets
}
else{
// variabele gemanipuleerd

// maaklog, sla ip op

// stuur gebruiker door
}



Security problemen ontstaan echter wanneer je niet weet wat je kunt verwachten.
en vaak als je de input gebruikt voor een query oid.
08-06-2012, 21:49 door [Account Verwijderd]
[Verwijderd]
12-06-2012, 23:52 door Anoniem
Valideer alle data die je uberhaupt binnen krijgt via een gebruiker. Is het een heel getal gebruik dan $checkedVar = intval($_POST[' var']);

Ga je de string in SQL gebruiken gebruik dan mysql_real_escape_string($_POST[' var']);

Input validation is enorm belangrijk, ga er vanuit dat data altijd evil is als je het krijgt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.