wat is het veiligst?

Door Tony Tony op 22-03-2015 17:19

929 views

Eerst en vooral bedankt iedereen voor de tips, ik heb vorige week mijn examen gedaan, en behaalde 80% . het ging om het functioneren van de site en de integratie van de database.
De beveiliging is een andere module.

Ik heb op mijn website een database met de gebruikers die zich geregistreerd hebben. ik heb hen de mogelijkheid gegeven om hun gegevens aan te passen. in dit formulier heb ik de variabele "toegangslevel" weggelaten.
Deze aangepaste gegevens worden met de methode POST terug naar de database gestuurd. Is dit veilig? Kan er zo iemand met kennis zichzelf een ander toegangslevel toekennen?

- Ariën -

22-03-2015 17:43

Zolang je niet de waarde in de query aan kan passen, en dat je ook zorgt dat er geen SQL-injection mogelijk is, dan is het veilig.

- SanThe -

22-03-2015 17:47

Als dat niet in het formulier zit en als je dat in de update query niet verandert lijkt het mij wel okee.

Thomas van den Heuvel

22-03-2015 18:53 gewijzigd op 22-03-2015 19:05

We kunnen er in ieder geval weinig over zeggen als je geen code laat zien.

Iets waar je waarschijnlijk ook rekening mee moet houden: is je "verwerkstap" ook afgeschermd? Als dit niet het geval is kan ik weliswaar niet het gebruikerslevel aanpassen, maar misschien kan ik via een CSRF (Cross Site Request Forgery - kort door de bocht, ik submit vanaf mijn site een formulier naar jouw site) gegevens van jouw account overschrijven en daarmee je account kapen. En als jij dan net een admin bent ofzo... missie geslaagd.

Manipulatie via queries is niet de enige manier om in te breken.

EDIT: Oh, en nog gefeliciteerd natuurlijk.

Reageren

Inloggen om te reageren