en dit gaat een query in hiervoor gebruikte ik ook nog
<?php
mysql_real_escape_string();
?>
maar omdat ik wou dat mensen ook <>'"& in hun wachtwoord konden zetten heb ik dat weggehaald is mijn loginscript nu dan wel gevoelig voor sql injections?
GR. mebus!
edit: zelf gebruik ik ook altijd:
<?php
error_reporting(E_ALL);
?>
en nu ik weet dat als eht script echt online gaat dat ik dat weg moet halen:)
@frank: Natuurlijk ben ik het volledig met je eens dat er nooit een fout op het scherm getoont mag worden. Maar ik denk dat het uitzetten van de error reporting hier geen nette oplossing voor is. Met een custom error handler kun je de error reporting gewoon op E_ALL laten staan zonder het risico te lopen dat de foutmelding bij de gebruiker op het scherm komt. Dan zie je zelf nog wel alle foutmeldingen.
Als ik tijd over heb zal ik hier binnenkort een tutorial over schrijven (als die er nog niet is).
?
Onbekende gebruiker
07-06-2006 11:20
@mebus
Als je wachtwoorden opslaat als md5() dan heb je van dat soort dingen helemaal geen last
veel mensen maken alleen gruwelijke fouten in ereg expressies;)
voorbeeld: <img src="">
en dan de tekst tussen de "" gefiltert op #, ', ", etc, maar EEN tekentje vergeten en BOEM, xss hacks..
