Php7 platform overgezet

Een onversleuteld wachtwoord lijkt mij sowieso geen goede zaak. Ik gebruik zelf altijd dubbele quotes in HTML. In zekere zin maakt het (blijkbaar) niet uit wat je gebruikt. Het belangrijkste is dat je hier zelf lijn in aanbrengt.

Daarnaast is het zaak dat je de DATA die uit oogpunt van HTML mogelijk speciale karakters kan bevatten onschadelijk maakt. Je komt bijvoorbeeld in de problemen als $inlogpassword een enkele quote bevat, of bijvoorbeeld een sluitingshaak ( > ). Dit doe je met escaping-functies zoals htmlspecialchars().

Ook lijken mij mengvormen als:

<?php echo $paginanaam;?>?<?=$doorgeven;?>

Ongewenst.

Dit kun je ook combineren tot één PHP-blok:

<?php echo $paginanaam.$doorgeven; ?>

De punt rijgt de twee stringwaarden aan elkaar.

Zorg gewoon dat alle dynamische content binnen PHP-blokken valt, en alle niet-dynamische content hier buiten valt. Er is geen enkele reden om statische lappen HTML te echo'en want je kunt een PHP-blok te allen tijde afsluiten en weer openen.

Ik ben die mengvorm aan het herstellen en zie dan telkens weer wat anders wat ik moet aanpassen. Ik heb nu weer alles gebackupd en teruggezet in sftp ivm met die mengvorm o.a. Ik ga alles weer nalopen op die html dubbele quotes.






[size=xsmall]Toevoeging op 03/10/2018 22:45:38:[/size]

Waar ik nu weer tegenaan loop is het volgende. Misschien hebben jullie een idee?
Na het verzenden van artikelen uit order.php wordt je direct ingelogd in mijnorder.php om deze te bekijken. Mijn echtgenoot krijgt dan een mailtje met betreffende artikelen, prijzen en afzender. Je kunt op iedere pagina weer uitloggen en dan kom je weer in een andere pagina. Maar dat gebeurt niet meer en ik weet niet waarom. Er verschijnt een wit scherm en het ip-adres is dan http://rspp.nl/uitlog.php?/order.php
Dit gebeurt ook wanneer ik alles in https://www.rspp.nl enz. heb gewijzigd.
Ik heb alle pagina's weer gebackupd om dit te opnieuw te testen, maar helaas kom ik niet meer in b.v. index.php. Kan iemand even meekijken naar mijn uitlogscript hieronder?
Er staat een ook stukje java in en ik heb ook al gekeken of dit nog wel actueel is en er window.location.replace van gemaakt, maar dat werkt ook niet. Ook tevergeefs heb ik er https:// enz. van gemaakt.

Hieronder in code mijn oude uitlog-script.

<?php
session_start(); 
Header('Cache-Control: no-cache');
Header('Pragma: no-cache');
include 'library/config.php'; 
include 'library/opendb.php';
include 'library/puchfunctions.php';

//GEWIJZIGD mysql NAAR mysqli PER JANUARI 2016 IVM MIGRATIE PHP 5.6

$con = mysqli_connect($dbhost,$dbuser,$dbpass,$dbname);
if (!$con)
  {
  die('Could not connect: ' . mysqli_connect_error());
  }
  mysqli_select_db($con,$dbname);
  
  logpagina($sessie); //schrijf deze pagina-hit in big sister

function waarschuwing($msg) {
//geeft de waarschuwing $msg als windows alert
echo "<script language=\"javascript\">alert(\"".$msg."\");</script>";
}
  
$paginanaam=$_SERVER['PHP_SELF'];
$doorgeven=$_SERVER['QUERY_STRING'];

$query="update Sessions set member_ID='' where SessionID='".$sessie."'";
mysqli_query($con,$query) or die(mysqli_connect_error()); 

waarschuwing("U bent nu uitgelogd");
?>
<html>
<head>
<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-42779813-1', 'rspp.nl');
  ga('send', 'pageview');

</script>
<script type="text/javascript" language="JavaScript">
function nieuw(){
	location.replace("http://rspp.nl<?=$doorgeven;?>");
}
</script>
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-7771863-2");
pageTracker._trackPageview();
} catch(err) {}</script>
<meta name="description" content="Puchlinks van interne en externe sites. Steekwoorden, informatie en kennis op de site www.rspp.nl. Verwijzing naar andere Puch- en Tomos websites.">
<meta name="keywords" content="puchliefhebber, technische vraagbaak, puch, liefhebber, rubriek, specifiek, puchprobleem, behandelen, technische vraagbaak, specifiek puchprobleem, eigen import, toerritjes, 2008, puchwinkeltje, puchparts, rspp, ruud schuitemaker puch, denfeld zadeldek, puch skytrack, lucia, dedus achterlicht, 50, mv, schuitemaker">
<meta name="robots" content="noodp, noydir, index, follow">
<meta name="revisit-after" content="3 month">
<meta name="author" content="©webspanning">
<title>Uitloggen</title>
<!-- cilinder, koelkappen, carterdelen -->
<link href="rspp.css" rel="stylesheet" type="text/css">
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"></head>
<body>
<div id="container">
<!--<h4>U wordt uitgelogd</strong>--><script type="text/javascript" language="JavaScript">nieuw(); </script> 
 <!--<br>
</h4>-->
<?php
include 'library/closedb.php';
?>
<!--eind container--></div>
</body>
</html>

[size=xsmall]Toevoeging op 03/10/2018 22:46:30:[/size]

Hopelijk worden jullie niet gek van mijn gevraag :)

JavaScript voor een HTML-document? :/

We zitten ook niet meer in de jaren 90, dus een alert is nogal... retro.

Waar komt $sessie vandaan en ben je ook nagegegaan of sessies ook goed geconfigureerd zijn nu je bent overgestapt naar https (als daar sprake van is)?

De college die de website heeft gebouwd destijds was een C++ programmeur en hij vond dat kennelijk leuk. Het was volgens mij voor hem toen ook een uitdaging :) Wij zijn ook niet de jongeste meer, haha.
Hij heeft toen een statistiekpagina gebouwd die we bigsister hebben genoemd en daar staat alles vwb de orders.

<?php
//ik wil hier een loop over alle orders

$query="select ID,SessionID,Datum, Tijd,remote_addr,pagina,browser,komtvan,IP from Sessions where remote_addr not in ('80.101.18.47') order by ID desc";
#where ID>165
$result  = mysqli_query($con,$query) or die($query.'    Error, query failed. ' . mysqli_connect_error());
while($row = mysqli_fetch_array($result)) {
list($ID,$SessionID,$Datum, $Tijd,$remote_addr,$pagina,$browser,$komtvan,$IP) = $row;
?>

Niet $SessionID, maar $sessie.

Regel 28:

$query="update Sessions set member_ID='' where SessionID='".$sessie."'";

SessionID is de de sleutel van de Sessions-tabel

Waar komt de PHP-variabele [color=#ff0000]$sessie[/color] vandaan? Niet de database kolomnaam of wat dan ook.

Een witte pagina duidt op fouten, check je logs.

ex-collega heeft een puchfunctie script met ongeveer 400 rijen geschreven waar alle variabele en functies instaan, waaronder ook $sessie

function leesnieuwepagina($categorie,$cat,$sessie) {
//deze functie vult het array $aantal[] met de bestellingen die eerder in de categorie besteld zijn in deze sessie
//invoer: $categorie, een string met de waarden 'frame', 'wiel', of 'motor'
//invoer: $cat, een karakter met de waarden 'F', 'W', of 'M'
//invoer: $sessie
global $aantal;
//lees de $schrijf

Globals.... iewl! ;-)

Waarom niet als argument in je functie meegeven? Dan heb je tenminste een goed overzicht wat je in je functie binnen neemt.

:)

Maar dat is een functie-parameter, niet een variabele die geldig is in de globale scope. Een functieparameter is meestal een "placeholder" voor een andere variabele. Daarnaast is de scope (het geldigheidsgebied) van een functie-parameter het gedeelte tussen { accolades }, dus daarbuiten bestaat (deze) $sessie niet.

$sessie, de variabele op regel 28 van je uitlogscript zal dus ergens gedeclareerd moeten staan in de globale scope, dus ergens in:
- /library/config.php (of een vervolg-include)
- /library/opendb.php (of een vervolg-include)
- /library/puchfunctions.php (of een vervolg-include)

En anders is deze variabele gewoonweg niet gedeclareerd ("bestaat deze niet").

Ik zou je errorlogs raadplegen om te kijken wat er misgaat als je deze uitlogpagina aanroept.