Het Gastenboek wordt niet meer verkocht
-
1160 × bekeken sinds 21-04-2010, 17:28 #1
Mooi Gastenboek
Laatst aangepast door maarten zonneveld : 22-04-2010 om 13:42
-
In de schijnwerper
Radio portal - WP plugin - Versie 2.1 - versie 2.1 NU LIVEPHP scriptsStartpagina script V2.1 - WP plugin - Vernieuwd - Vele opties - V2.1 NU LIVEPHP scriptsAffiliate link poster V1.0 - Automatisch affiliate links posten in blogs - WP pluginPHP scriptsProduct feed grid V1.7 - Creer een affiliate shop in 2 min - WP plugin - V1.7 NU LIVEPHP scripts -
21-04-2010, 17:42 #2gast8691 Guest
Oke dan 1 euro
-
21-04-2010, 18:10 #3
Particulier
- Berichten
- 2.392
- Lid sinds
- 17 Jaar
Let op; XSS-injectie is mogelijk.
-
21-04-2010, 18:12 #4
Particulier
- Berichten
- 554
- Lid sinds
- 15 Jaar
Klopt het dat het gastenboek een heel groot stuk html weergeeft in een zwart vak onderaan de pagina?
-
21-04-2010, 18:14 #5
Particulier
- Berichten
- 146
- Lid sinds
- 15 Jaar
Ik denk dat het een grapjas heefd gedaan.
Origineel gepost door Steven Verkuil
Die het script een beetje wou verpesten
-
21-04-2010, 18:20 #6
Particulier
- Berichten
- 2.392
- Lid sinds
- 17 Jaar
Bovenstaande komt door de mogelijkheid tot XSS-Injecties. Als de gebruiker die nu "<plaintext>" heeft geschreven een stukje javascript had geplaatst, had er een stuk meer kunnen gebeuren =)
-
21-04-2010, 19:16 #7
Particulier
- Berichten
- 23
- Lid sinds
- 15 Jaar
Hij is beter beveiligd!
Kijk zelf maar.Laatst aangepast door maarten zonneveld : 21-04-2010 om 19:45
-
21-04-2010, 20:10 #8
Particulier
- Berichten
- 554
- Lid sinds
- 15 Jaar
Niet veilig. Origineel gepost door maarten zonneveld
1. ik kan een rating van 100 geven (zie maar)
2. ik verstuur zo XXX post in 1 minuut (kan het bewijzen)
-
21-04-2010, 20:14 #9
Banned
- Berichten
- 236
- Lid sinds
- 15 Jaar
@ Steven Verkuil,
Klopt, niet veilig.
Het is mij ook gelukt om bijvoorbeeld een rating van 1000 te geven.
Mag ik vragen hoe u het heeft gedaan?
Met vriendelijke groet,
Guyon
-
21-04-2010, 20:17 #10
Particulier
- Berichten
- 23
- Lid sinds
- 15 Jaar
mag ik vragen hoe je dit hebt gedaan? Origineel gepost door Steven Verkuil
Bedankt dat jullie me helpen met het verbeteren van dit gastenboek
-
21-04-2010, 20:26 #11
Particulier
- Berichten
- 554
- Lid sinds
- 15 Jaar
@Maarten. Het is belangrijk om de volgende php regels in acht te nemen bij al je scipts:
1. never trust user input
2. never trust user input
3. never trust user input.
Om je scripts veilig te maken moet je minimaal aan de volgende dingen denken:
1. altijd mysql real escape string gebruiken als je een _GET of een _POST variabele wilt opslaan in je DB
2. nooit zomaar ervan uitgaan dat gebruikers zich aan de 'gewenste' input houden. men kan namelijk ook gewoon code invullen in een 'naam' vakje.
3. Altijd een controle uitvoeren of wel het gewenste resultaat is ingevuld in het gewenste vakje. Als jij een dropdown lijstje maakt met als optie 'ja' of 'nee' (of score 0-10) dan kan een kwaadwillend gebruiker zijn httprequest aanpassen en bijvoorbeeld een heel stuk JS meesturen!!!
Wat jouw script betreft:
1. gebruik geen cookies voor de 10min timer. neem gewoon een ip logger en een database
2. doe een controle op al je velden en controleer o.a. of de input van de 'score' wel een getal is, en of het binnen de min en max ligt.
Voor technische gegevens van deze 'hack' kun je per PM contact opnemen. Ik wil dit bewust niet hier plaatsen (en vraag andere mensen dat ook niet te doen), omdat je met een dergelijke 'tool' redelijk wat schade kan aanrichten bij vele slecht gemaakte site's.
-
22-04-2010, 08:03 #12
Particulier
- Berichten
- 587
- Lid sinds
- 16 Jaar
@ TS: Neem de tips van Steven Verkuil in overweging alvorens een script te verkopen.
- Bespaart je een hoop problemen achteraf!
Tevens is het ook de bedoeling dat je je scripts hierop uitgebreid test alvorens ze te verkopen.
