Origineel gepost door Chris H

Waarom zou je een invoerveld op hidden willen zetten?
Aanvullend bericht:


Zoiets heet "shorttags", en is ten strengste af te raden..

Mag ik ook vragen waarom? Als het op je server aanstaat gaat het prima. En ik vind het er zelf erg netjes uit ziet. Wel vind ik dat je consequent moet zijn. OF je gebruikt shorttags. Of je gebruikt het andere. Niet beide.

Origineel gepost door Frank Houweling

Mag ik ook vragen waarom? Als het op je server aanstaat gaat het prima. En ik vind het er zelf erg netjes uit ziet. Wel vind ik dat je consequent moet zijn. OF je gebruikt shorttags. Of je gebruikt het andere. Niet beide.

Ten eerste, omdat de instellingen niet op elke server staan.
Ten tweede, omdat je er rekening mee moet houden dat het in toekomstige versies eruit gaat ;-)

Origineel gepost door Sam Vloeberghs

:) op basis van uw ip dus een checksum ( md5 salt shit fzo ) wat je maar wilt.

@lars bedankt voor je toevoeging die reeds verteld was , misschien eerst het topic eens lezen :)

Waarom zou je dat doen, gewoon in de sessie zelf het IP neerzetten en dit vergelijken en je probleem is al opgelost.
Dit MD5en is onnodig gezien de bezoeker het toch al niet ziet.

Origineel gepost door Vincent

Waarom zou je dat doen, gewoon in de sessie zelf het IP neerzetten en dit vergelijken en je probleem is al opgelost.
Dit MD5en is onnodig gezien de bezoeker het toch al niet ziet.

Misschien ook niet helemaal handig, je hebt immers geen garantie dat een gebruiker elk request met hetzelfde ip-adres doet. Dus die zou, onterecht, bij elke wissel eruit geknikkerd worden.

Origineel gepost door Ruud van der Velden

Misschien ook niet helemaal handig, je hebt immers geen garantie dat een gebruiker elk request met hetzelfde ip-adres doet. Dus die zou, onterecht, bij elke wissel eruit geknikkerd worden.

Klopt, maar wel de beste manier om hijacking uit te sluiten.
Kies je dus voor veiligheid of klantvriendelijkheid.
(en hoeveel zullen er tijdens een browser sessie een ander ip krijgen, ik denk dat je dan grotere problemen hebt dan sessies ;-) )

Volgens mij kan dat best voorkomen wanneer gebruikers achter proxy-servers zitten. Dus toch beetje mee oppassen.

Je kunt je ook afvragen hoe groot de kans is dat een cookie met korte time-to-live, gehasht met salt, gekraakt wordt.

Origineel gepost door Ruud van der Velden

Volgens mij kan dat best voorkomen wanneer gebruikers achter proxy-servers zitten. Dus toch beetje mee oppassen.

Je kunt je ook afvragen hoe groot de kans is dat een cookie met korte time-to-live, gehasht met salt, gekraakt wordt.

De cookie tijd kun je natuurlijk zo aanpassen.
Maar gehasht met salt, mag jij me uitleggen wat het nut is om van een hash een hash te maken?

Kan ik niet uitleggen. Was even in de war met die checksum.

Overigens ga ik nu niet meer reageren. Ik denk dat dit de originele vraag van de poster niet meer echt beantwoordt.

@TS

Ja dat stukje PHP code is correct


Maar goed je gooit je zelf nu wel open voor cross site scripting (CSS of XSS afkorting) waarmee session riding mogelijk is, altijd htmlspecialchars gebruiken op informatie die van de client afkomt. Immers de client moet de username ingeven bij aanmelden.


Verdere opmerkingen over die gegevens correctheid geen hidden veld gebruiken is te makkelijk te
manipuleren. En ook geen cookie zoals Lars Kikkert voorstelt is namelijk ook te makkelijk te manipuleren.

Gebruik maken van een sessie die bij elk request een nieuwe session_id krijgt in combinatie met IP locking is redelijk safe

Maar het moraal van het verhaal, stuur geen gevoelige informatie naar de client die makkelijk aanpasbaar is, aangezien in jou'n geval, ik gewoon een "Admin" bericht kan plaatsen door het hidden veld aan te passen. Hou gevoelige informatie gewoon lekker in een sessie en pas op met gegevens van de client zie cross side scripting.

Ik probeer altijd in mijn codes zo weinig mogelijk html te gebruiken. Als je een apart template bestand maakt en deze laad, dan kun je werken met @naam@ of {naam}. zo kun je dus gewoon richten op het scripten, en heb je geen onoverzichtelijke vlakken met html in je sources staan.

Dit is in mijn ogen goed php omdat je echt php script, en niet half om half.

en zo dan?
<?php echo'<input type="hidden" name="name" value="'.$user['username'].'" >;?>

Dan gaat hij al helemaal dood Dirk, verkeerde syntax...

<?php echo '<input type="hidden" name="name" value="'.$user['username'].'" />'; ?>

hoe bedoel je Chris?

Update: Ah ja, zie m, maar wat ik bedoel is algemeen alles in een echo zetten. Vind dit persoonlijk fijner bij een if/else statement en dergelijke

Ik zou dan ook nog liever gebruik maken van de functies printf() en sprintf() van PHP. Iets overzichtelijker.

De volgende keer dat ik mijn site ga vernieuwen dan ga ik gebruik maken van een template engine (Smarty) zodat ik html en php volledig kan scheiden. (tenminste, dat ga ik proberen).

Uiteindelijk komt denk ik iedereen er een keer achter dat het scheiden van diverse onderdelen: html, css, php etc. echt heel veel voordelen oplevert.

<? word niet meer ondersteund in de nieuwe PHP versies.