Redirect

Lontronics · Bericht door **Lontronics** » 07 mar 2005, 21:13

Dan zou het dus gewoon veilig moeten zijn....

Bericht door **Paul** » 07 mar 2005, 21:15

dat durf ik niet direct te beweren, maar er kan zoals je ziet in ieder geval geen script worden uitgevoerd. Ik zal er morgen tijdens school(Heb toch niks anders te doen 8) ) er nog eens over nadenken :thumb:

Lontronics · Bericht door **Lontronics** » 07 mar 2005, 21:33

Is goed, ik wacht het verhaal nog wel even af

Groeten,
Jan

Lontronics · Bericht door **Lontronics** » 08 mar 2005, 19:19

En Paulus, ik ben benieuwd

Groeten,
Jan

Bericht door **Paul** » 08 mar 2005, 19:26

ik geloof niet dat het kwaad kan. Je zou het nog aan mosy kunnen vragen, maar geloof niet dat hierdoor scripts of html kan worden uitgevoerd.

Lontronics · Bericht door **Lontronics** » 08 mar 2005, 19:30

Ik heb het hem per pm gevraagd. Thx

Jan

Bericht door **Paul** » 08 mar 2005, 19:31

fast sjonny schreef:Ik heb het hem per pm gevraagd. Thx

Jan

graag gedaan

. Eindelijk eens iemand die geen vragen via pm stuurt

mosymuis · Bericht door **mosymuis** » 08 mar 2005, 21:08

fast sjonny schreef:de functie $HTTP_GET_VARS[]

Het is geen functie, maar een superglobal, een array in dit geval.

fast sjonny schreef:Dat is ook waarom ik vroeg hoe het zit met de veiligheid.
Ik haal nu bewust alleen p= en t= binnen waarbij ik ook nog controleer of er eventueel een abonnement wordt afgezegd, maar de rest laat ik voor wat het is.

Het idee is goed, maar in de praktijk maakt het helemaal geen verschil. Je controleert namelijk alleen op de aanwezigheid ervan, en niet op de inhoud. Dan maakt het dus niet uit welke parameter je doorlaat, want ze kunnen allemaal malafide zijn. Daarnaast werk je in dat script met onder andere $HTTP_GET_VARS['p']; deze zijn al ontvangen door viewtopic en veilig omgezet naar, in dit geval, $p. Dat werkt dus beter.

Of dit nu echt veilig is? paulus' opmerking wat betreft het starten van script tags klopt, maar in de praktijk blijken variabelen die binnen <> tags geplaatst worden juist gevaarlijker dan vars die erbuiten neergezet worden. In dit geval zie ik echter geen direct gevaar, omdat de string in javascript pas wordt afgesloten met een enkele ' quote, en zoals jij de variabelen aanneemt bevatten alle quotes een slash \ ervoor, dankzij de PHP instelling "magic_quotes_gpc" die op praktisch alle servers aan staat. Hier kan het dus geen kwaad om de volledige $_SERVER['QUERY_STRING'] string te gebruiken; het is in ieder geval niet gevaarlijker.

Bericht door **Paul** » 08 mar 2005, 21:12

mosymuis schreef: Of dit nu echt veilig is? paulus' opmerking wat betreft het starten van script tags klopt, maar in de praktijk blijken variabelen die binnen <> tags geplaatst worden juist gevaarlijker dan vars die erbuiten neergezet worden.

daarom heb ik er inderdaad ook zo lang over moeten nadenken of het wel of geen gevaar had.

Lontronics · Bericht door **Lontronics** » 08 mar 2005, 21:14

Dank je wel voor je uitgebreide antwoord Mosymuis!!

Ik maak er dan $_SERVER['QUERY_STRING'] van omdat zoals Paulus ook al aangaf, de gehele string ddan wordt doorgegeven zonder dat er evt. wat mist.

Nogmaals bedankt allebei

Groeten,
Jan.

Bericht door **Paul** » 08 mar 2005, 21:14

graag gedaan. Nu had ik op school ook weer eens wat te doen