Nu hoorde ik dat het onveilig is om includes te gebruiken ..
mijn vraag is simpel:
Geld dit aleen als je includes voor eenmenu etc gbruikt, of geld dit ook als j gewoon een include gebruikt om bijvoorbeeld een shoutbox of poll in je pagina te plaatsen.?
Je maakt het zelf zo veilig je wil...
ik zie er niet bepaald veel onveiligs...
Andere dan weer wel :)
Gewoon zorgen dat de gebruiker niet kan manipuleren welke files er included worden... ;)
Als je een Poll die gehost is op JOUW pagina / host dan is er denk ik niet veel aan de hand. Wanneer je het via een andere site / iemand anders kan het aanpassen, dan kunnen ze idd je hele site slopen... :-() maar zal vast niet gebeuren...
ik zie hier niet echt het onveilige van in , tenzij het als een menu word gebruikt zoals site.com/id=pagina1
dan zouden mensen dus een url erchter kunnen plakken .. maar volgens verschillende sites is de normale include onveilig ... wat vinden jullie hiervan .. dikke onzin ofniet?
Dat een include onveilig is slaat volgens mij nergens op, tenzij deze door de gebruiken via bv GET aan te passen is
(<? include($_GET['page']) ?>)
Maar het is erg simpel om ook dit veilig te maken, namelijk met:
<? if(file_exists($_GET['page'])) ?>
deze geeft namelijk alleen true als je file ook op de zelfde server staat.
?
Onbekende gebruiker
10-02-2005 22:06
Bedank voor je reply, ik dacht persoonlijk ook al dat het onzin zou zijn .. ik ben erg op veiligheid gesteld van mijn script en ook de database variables etc.
1 vraagje die denk ik nog wel in dit topic kan :
Ik ben op zoek naar een VEILIG inlog systeem .. nu kan ik htaccess gebruiken , maar daarzitten weer wat onveilige kanten aan zoals : het niet versleutelen an gegevens die worden verstuurd ( pas bij aankomst worden ze in de database versleuteld) en er zijn nog wat anderre zwakke punten ( over algemeen is het wel goedhoor!)
Nu heb ik letterlijk 100 beveiligingen gezien, met sessions,cookies .. whatever.. maar allemaal waren ze toch nog behoorlijk slap.
wten jullie een goed login script dat erg veilig gevonden word? ik zal er nog wel wat aan gaan editen , maar 1 script laten maken kost me iet steveel op dit moment.
denk dat je het ook kan overdrijven, iemand die kwaad wil, vind altijd wel wat, maar je zou mss wat kunnen maken waarbij de gegevens die worden verzonden al voor het verzenden via javascript in een md5 hash gezet worden?
Dat een include onveilig is slaat volgens mij nergens op, tenzij deze door de gebruiken via bv GET aan te passen is
(<? include($_GET['page']) ?>)
Maar het is erg simpel om ook dit veilig te maken, namelijk met:
<? if(file_exists($_GET['page'])) ?> deze geeft namelijk alleen true als je file ook op de zelfde server staat.
Tip: As of PHP 5.0.0 this function can also be used with some URL wrappers. Refer to Appendix L for a listing of which wrappers support stat() family of functionality.
