@Kilian, dat staat in http://pastebin.com/m22a14d52 dit stukje code ;)

Origineel gepost door René Vennik

En wat nou als men als id dit opgeeft: 2' OR 'a'='a dus: ?id=2' OR 'a'='a

PHP Code:

$database->query("UPDATE `messages` SET `read`='".$read."' WHERE `id`='".$_GET['id']."'"); 


Dat kan ik wel vertellen, dan wordt alles veranderd ipv van alles dat id. Wel leuk als je je medespelers wilt plagen.

Je hebt niet alle code gezien en daarom, alleen deze keer geef ik hier uitleg bij.
Alle GETS en POSTS worden gecheckt of voorhand!
In dit geval wordt eerst gekeken of het een geldig id is.

Code:

if(ctype_digit($_GET['id']))

Wel beveiligd dus.
Gelieve zulke commentaren ook achterwege te laten gezien je niet het volledige script hebt gezien.

Het is dan ook handig een wat groter deel van het script te posten.

Ik ga hier niet heel de broncode posten.
Zo'n reacties dus achterwege(!) laten.

Edit.
Ik neem het je niet kwalijk hoor, ik wil alleen maar zeggen
dat zo'n reacties negatief zijn voor de verkoop.

Indien je het op die manier beveiligt hebt is het goed. Ik blijf alleen altijd kritisch, zodat ook de mensen die er weinig vanaf weten, weten waar ze aan toe zijn.

Maar dit stukje script is een mooi stukje.
Succes met de verkoop!

Waarom geen LIMIT 1 bij de mysql query, zo zoekt hij de hele tabel na naar meerdere berichten terwijl er maar 1 is. Een beetje een goedbezochte RPG heeft zo duizenden berichten p dag.

Herkend de database de unike waarde dan niet die aan aan 'id' is gekoppeld?

Maar even ontopic: graag demo, op een gratis host maakt me niet uit maar ik wil graag een demo zien voor ik iets koop.

Limit is niet nodig omdat er inderdaad maar 1 record is met dat id.
Maar reacties op de scripting zijn overbodig in dit topic.
Het systeem werkt voor 100% en elke input wordt beveiligd.

Glenn, met alle respect maar ook jouw systeem zal niet 100% anti-hackbaar zijn.
Ik geloof dat je een mooi script hebt geschreven en wens je veel succes met de
verkoop, maar blijf wel realistisch ;)

En toch zo'n comments blijven posten hé...
Niets is onhackbaar, ik zeg alleen dat mijn INPUTS beveiligd worden en dat
de user geen 'stoute' dingen kan doen door middel van mijn scripts.
Denk ook eens na als iemand hetzelfde zou doen als jij iets probeert te verkopen.

Glenn, limit heeft wel degelijk een invloed!
Als je geen limit 1 doet. Zoekt hij het hele db door.
Zet je er limit 1 achter stopt hij bij het eerst gevonden tabel.
Nu door zoekt hij alles (kost laadtijd)

Glenn, wij proberen je verkoop niet kapot te maken hoor.
Er worden redelijk dingen aangekaart die voor een koper belangrijk
zijn om te weten en daar heeft hij/zij volgens mij ook recht op.

Of is reageren op een aangeboden product verboden?

Ik zeg ook niet dat het slecht bedoeld is maar als er zoveel commentaar is op de scripting,
gaat een potentiële koper rapper afhaken.
Dit terwijl het systeem echt voor 100% gebruiksklaar is.
Aanvullend bericht:
Even een update:
Screens:
http://s714.photobucket.com/albums/ww147/bubblesssss/

wat mij opvalt aan de screens:
hoger lager -> het resultaat komt voor het menu
auto verkopen -> het resultaat komt in de header, kan dit ook in het midden van de site?

Voor de rest ziet het er prima uit!

De afbeeldingen met een pijl zijn niet zo weergeven.
Ik heb bij de volgende pagina (hoger lager, auto verkopen) de content eruit geknipt
en met een pijl erbij gezet, om te tonen dat dat erna komt.
Die dingen komen gewoon op dezelfde plaats als de rest hoor.
Dus niet in de header en eronder, maar gewoon op de plaats van de content.