Ah joh je wil het toch uiteindelijk zelf leren? Google eens op veiling scripten!
php.net/mysql_real_escape_string
php.net/htmlentities
ALTIJD input van users controleren op onveilige content, nooit zomaar HTML toestaan, etc etc!

Hier springen mij de tranen van in de ogen.. Nergens worden post veriabelen escaped, nergens wordt er ingesprongen en ik zie nergens het gebruik van tabbing.. Dat geeft ook niet, waarschijnlijk moet je nog veel leren.

Alleen al het gebruik maken van tabs maakt je code zoveel leesbaarder, scheelt je enorm in debuggen ook.

Heb het nog eens door een vriend laten nakijken, zegt dat het systeem veilig is.
Je kan enkel nog html uitvoeren in het cms (na login!).

Als iemand het website gedeelte en cms login eens zou willen testen, laat mij weten waar het fout zit zodat ik het kan oplossen.

Mvg
Rob

(ben ook stap voor stap bezig met het tabben van mijn code)

Origineel gepost door Harings Rob

Heb het nog eens door een vriend laten nakijken, zegt dat het systeem veilig is.
Je kan enkel nog html uitvoeren in het cms (na login!).

Als iemand het website gedeelte en cms login eens zou willen testen, laat mij weten waar het fout zit zodat ik het kan oplossen.

Mvg
Rob

(ben ook stap voor stap bezig met het tabben van mijn code)

Kijk, het systeem werkt. Echter is een systeem dan nog niet meteen goed.
Ik heb een klein stukje van de code doorgenomen en ben een aantal kwalijke dingen tegengekomen:

Je gaat verkeerd om met sessies: je stopt het id en de rank in een sessie zonder steeds te controleren of de rank wel bij het id hoort (wat als de gebruiker zijn sessie id of zijn rechten aanpast?). Je moet je er van bewust zijn dat gebruikers sessies kunnen manipuleren. Zeker als je een opensourse systeem maakt is het noodzaak dat alles waterdicht is. Dingen als:

PHP Code:

Welkom: <? echo $_SESSION['myusername']; ?>

moet je altijd voorkomen, controleer altijd de input van de gebruiker, echo deze niet direct, iemand kan er kwalijke code inzetten waardoor bijvoorbeeld je database geleegd wordt.

Daarnaast vind ik de code te onoverzichtelijk (je hebt wel modules maar die staan wel tussen alle andere bestanden (en niet in een aparte map) en de code, is zoals eerder aangegeven, niet snel te lezen.

Dit zijn enkele punten van kritiek, zelf kan ik niet zo 1,2 3 een goede tutorial vinden met goede beveiligingstips maar ik denk dat anderen je hier wel in kunnen voorzien.

Oke, ik ga mijn sessions herzien. voor de rest, elke user input is voorzien van beveiliging. En mijn code ben ik stuk voor stuk leesbaar aan het maken.

Dankjewel voor je reactie!