<input type="hidden" name="name" value="<?php echo $user['username'];?>" >

bedankt!

Op het eerste gezicht zou ik zeggen: ja

Geloof wel dat er een afkorting bestaat voor die regel:

<input type="hidden" name="name" value="<?=$user['username'];?>" >

maar helemaal veilig is dat niet omdat je niet zeker weet of dat op elke server werkt

Waarom zou je een invoerveld op hidden willen zetten?
Aanvullend bericht:

Origineel gepost door Ruud van der Velden

Op het eerste gezicht zou ik zeggen: ja

Geloof wel dat er een afkorting bestaat voor die regel:

<input type="hidden" name="name" value="<?=$user['username'];?>" >

maar helemaal veilig is dat niet omdat je niet zeker weet of dat op elke server werkt

Zoiets heet "shorttags", en is ten strengste af te raden..

idd schrijf je php code altijd met <?php
Dan weet je zeker dat het altijd werkt

Origineel gepost door Chris H

Waarom zou je een invoerveld op hidden willen zetten?

Het is toch geen invoerveld: type=hidden
Aanvullend bericht:

Origineel gepost door Joris K

idd schrijf je php code altijd met <?php
Dan weet je zeker dat het altijd werkt

Dat zeg ik.

Waarom zou je een invoerveld op hidden willen zetten?

omdat alleen geregistreerde gebruikers een comment mogen plaatsen en deze zo hun username niet in hoeven te vullen maar deze wel naar de database verzonden word

Lol. Onderdeel van een form, is dus een invoerveld. Want iedere programmeur weet dat je dat makkelijk kan omzeilen. (Weet je dat niet? Foei. Neem dan de basis nog maar eens door)
Aanvullend bericht:

Origineel gepost door Ruud S.

omdat alleen geregistreerde gebruikers een comment mogen plaatsen en deze zo hun username niet in hoeven te vullen maar deze wel naar de database verzonden word

Lol. Dat zou dan dus een beveiligingsrisico zijn. Ik kan namelijk dat invoerveld gewoon goed zetten, en vervolgens mijn naam aanpassen :-)

Origineel gepost door Chris H

Lol. Onderdeel van een form, is dus een invoerveld. Want iedere programmeur weet dat je dat makkelijk kan omzeilen. (Weet je dat niet? Foei. Neem dan de basis nog maar eens door)
Aanvullend bericht:


Lol. Dat zou dan dus een beveiligingsrisico zijn. Ik kan namelijk dat invoerveld gewoon goed zetten, en vervolgens mijn naam aanpassen :-)

Allemaal leuk en aardig. Dat was helemaal de vraag niet van de TP. Op zich niets mis mee dat je er veel verstand van hebt, jammer dat je het op deze manier ventileert. Hidden velden kunnen opzich handig gebruikt worden. Je hebt wel gelijk dat ook hier goed gecontroleerd moet worden wat er wordt wordt gepost. Maar dat geldt voor alle velden.

waardes in hidden fields kan je evengoed in sessions meegeven. Als je zegt dat enkel een geregistreerde gebruiker comments kan plaatsen moet je zijn naam uit de Sessie halen en niet uit een hidden field..

Mijn eerste reactie was een reactie op die van jou, omdat jij het geen invoerveld noemt. Dat is niet zo. Het kan door de gebruiker worden gemanipuleerd, dus is het niet te vertrouwen.

Ten tweede, het is wel degelijk een antwoord op zijn vraag. Hij vraagt of het juist is, ik zeg dat dat niet zo is. Sam hierboven heeft het juiste antwoord al gegeven.

Origineel gepost door Chris H

Mijn eerste reactie was een reactie op die van jou, omdat jij het geen invoerveld noemt. Dat is niet zo. Het kan door de gebruiker worden gemanipuleerd, dus is het niet te vertrouwen.

Ten tweede, het is wel degelijk een antwoord op zijn vraag. Hij vraagt of het juist is, ik zeg dat dat niet zo is. Sam hierboven heeft het juiste antwoord al gegeven.

We kunnen het er lang over hebben: de vraag was of het php technisch juist is. Dat is duidelijk zo.

Verder vind ik het wel goed dat veiligheidsaspecten extra aangestipt worden. Ik ben het ook met je eens dat je dat veld niet als enige check moet gebruiken om een user te checken.

Sessions kan je uiteindelijk ook aanpassen en hijacken, maar daarom dat je uw sessions bvb moet beveiligen met een checksum en zodra deze niet meer klopt , de gebruiker automatisch afloggen.

En de vraag was niet of het technisch juist was , maar praktisch juist was.
(is dit goede php?? PHP van TS wel)
In het andere opzicht is het dus niet juist, omdat shorttags praktisch niet juist zijn..

Origineel gepost door Sam Vloeberghs

Sessions kan je uiteindelijk ook aanpassen en hijacken, maar daarom dat je uw sessions bvb moet beveiligen met een checksum en zodra deze niet meer klopt , de gebruiker automatisch afloggen.

Sessie aan ip hangen, kans is klein dat deze dan gekaapt wordt.

Beste Ruud,

Dit kan je het best oplossen door te controleren welke gebruikersnaam dit is aan de hand van sessie of cookie. Neem aan dat de gebruiker eerst moet inloggen.

Zo heb je geen input hidden nodig, meer php correcter in mijn ogen.


Mvg,
Lars

Origineel gepost door Vincent

Sessie aan ip hangen, kans is klein dat deze dan gekaapt wordt.

:) op basis van uw ip dus een checksum ( md5 salt shit fzo ) wat je maar wilt.

@lars bedankt voor je toevoeging die reeds verteld was , misschien eerst het topic eens lezen :)