Origineel gepost door Raymond Nijland

LET OP: code is onveiling in verband met mysql infection controleer altijd of de id een integer is en zet er altijd mysql_real_escape_string erom heen

Ik sluit me hier gedeeltelijk bij aan.

Je script is momenteel onveilig omdat dat je met:
script.php?id=1" OR "1"="1&status=goedgekeurd
alle leads in 1x kan goedkeuren.

Maar een id hoef je niet meer te quoten of escapen aangezien het (na validatie) al een integer is.

PHP Code:

$query = "SELECT ip, cashback, webshop FROM leads WHERE leadid=".(int)$leadid; 


Ik heb zelf geen ervaring met het systeem van m4n, maar ik neem aan dat dit script vanuit hun servers wordt aangeroepen bij een succesvolle lead?
Dan lijkt het me slim om $_SERVER['REMOTE_ADDR'] te controleren op een bepaalde IP-range, om ongewenste personen buiten de deur te houden...

werkt helemaal!
wil je nog de beloning een linkje? dan moet je hier even de link neerzetten of via pm ;)

Oke mooi dat het werkt, nee is goed zo

Dan lijkt het me slim om $_SERVER['REMOTE_ADDR'] te controleren op een bepaalde IP-range, om ongewenste personen buiten de deur te houden...

Dat lijkt me ook een zeer goed plan alleen dan zou je in de apache logs moeten kunnen om te kijken welk ip adres ze gebruiken of m4n moeten e-mailen of je hun ip adres kan krijgen voor de validatie doen ze vast niet moeilijk over?