Acties via url veilig?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Full Stack Java Developer - Banking

Do you have passion for technology and innovation? Are you ready to create innovative solutions to give the financial sector a solid lead in the digital world? Your day to day activities As Full stack Java Developer you will be part of the DevOps team. With a multidisciplinary team you will - in an Agile way - be working on building new functionalities and maintaining existing features. It covers both development and operations; helping to organize the continuous delivery pipeline, connecting to back end systems, performing automated tests and shaping the front end. The high-quality solutions you deliver result in

Bekijk vacature »

Java ontwikkelaar

Het schrijven van software en applicaties die er echt toe doen, dit doe jij onder andere als Java ontwikkelaar. Wij zoeken een Java ontwikkelaar voor ons hoofdkantoor in Waalwijk voor 40 uur per week. Het schrijven van software en applicaties die er echt toe doen, dit doe jij onder andere als Java ontwikkelaar. DMG, een huis vol mogelijkheden. Als Java ontwikkelaar werk je aan business applicaties, API’s en webservices die zowel binnen het bedrijf als door klanten en/of zakelijke partners worden gebruikt. Op deze manier kunnen we onze klanten nog beter bedienen en kunnen medewerkers hun werk eenvoudiger uitvoeren. Het

Bekijk vacature »

IT / Netwerk specialist

Word jij onze technische IT specialist, die klantvriendelijk en oplossingsgericht is? Dan zijn wij op zoek naar jou! Wat zijn je taken? In deze functie ben je voor klanten en collega's de contactpersoon in technische vraagstukken. Je werkt zelfstandig samen met een collega aan de inrichten, onderhouden en beheer van IT-systemen bij onze klanten. Je werkzaamheden bestaan uit het installeren, beheren en optimaliseren van systemen en netwerken. Houd je bezig met de voorbereiden en uitvoeren van migraties (cloud en on premise) en ben je inzetbaar bij opslagen en calamiteiten. Wat verwachten we van jou? Je hebt ervaring met Windows Server,

Bekijk vacature »

Full Stack Developer @ Regio Den Haag

2021-10-06 iSense Full Stack Developer Ben jij een ervaren Full stack developer met ruime ervaring? Wil je meedenken over de toekomst van de organisatie op het gebied van web ontwikkeling en heb je ervaring met development op het gebied van .NET & C#? Lees dan snel verder! ISBA49658 Nieuw Organisatie Voor een semi-overheidsorganisatie in de regio Den Haag zijn we opzoek naar een ervaren Developer, die full-stack georiënteerd is. Je zal verantwoordelijk worden voor het ontwikkelen van het huidige platforms en nieuwe web-omgevingen. Als developer binnen dit team ga je zorg dragen voor het ontwikkelen van organisatie gerelateerde modules in

Bekijk vacature »

Fullstack Developer / Aurelia / C# @ Ede

2021-09-27 iSense Fullstack Developer Aurelia C# Ben jij een Fullstack Developer met meerdere jaren werkervaring? Heb je gewerkt met een of meerdere JavaScript Frameworks/Libraries in combinatie met C# en wil jij deze ervaring graag inzetten bij een organisatie die bezig is met een nieuw platform met tal van nieuw te ontwikkelen functionaliteiten waar zeer veel data doorheen gaat? Wil jij hen ondersteunen in het verder uitbouwen van deze applicatie en denk je graag na (met je collega's) over toekomstige oplossingen? Lees dan nu verder! ISHU48790 Organisatie Als Fullstack Developer kom je te werken bij een gerenommeerde organisatie in de regio

Bekijk vacature »

Lead C# Ontwikkelaar

Lead C# Ontwikkelaar vaste standplaats Nijmegen Organisatie Groeiend IT bedrijf, gericht op duurzaamheid en maatschappelijk verantwoord ondernemen. Contactpersoon Roel Kavelaar ; rkavelaar@search-consult.nl ; 06 449 49 337 Verantwoordelijkheden Meedenken over verder ontwikkelen van het bedrijf Leiding geven aan ontwikkelaars Doorspreken van lopende projecten met je teamleden Plannen en budgetteren van nieuwe projectaanvragen Met de klant en andere betrokken partijen functioneel en technisch ontwerp van de aangeboden oplossing opstellen Klanten adviseren over mogelijke oplossingen voor het koppelen van systemen Klanten adviseren over mogelijke oplossingen voor het koppelen van systemen Met de klant en andere betrokken partijen een ontwerp van de aangeboden

Bekijk vacature »

Full stack Web Developer / Go & Ruby on Rails

2021-09-01 iSense Full stack Web Developer / Go & Ruby on Rails Ben jij ondernemend en blijf jij jezelf graag ontwikkelen on the job? Is Ruby on Rails jouw expertise en haal je energie uit het ontwikkelen voor meerdere Europese landen? Kom jij het best tot jouw recht in een kleinere organisatie waar de lijntjes super kort zijn? Ben je klaar om deel te nemen aan een gigantisch groeipad? Dan ben je hier aan het juiste adres. Lees snel de onderstaande vacature! ISBA50819 Organisatie De organisatie is geheel IT gericht en werkt aan een online omgeving en diverse software diensten.

Bekijk vacature »

Back-end Developer

As a back-end Developer you are responsible for the development and operations of our lottery websites and applications. Sounds interesting? Then you might be our new back-end Developer! Functie Nederlandse Loterij is on the move and the use of IT and technology is becoming increasingly important. We have a large change agenda and are looking for enthusiastic IT colleagues who want to contribute to this. Nederlandse Loterij is in transition to become a more digital customer-oriented organization, embracing a data-driven way of working, in which we work in multidisciplinary and DevOps teams. You will work in the Technology department, the

Bekijk vacature »

Lead Front-End Developer

Functieomschrijving Ben jij die gemotiveerde en hardwerkende developer die binnenkort de lead wil nemen van een Frontend ontwikkelteam? Word jij warm van het bouwen aan innovatieve oplossingen en het overwinnen van uitdagingen in de wereld van Supply Chain oplossingen, After Sales Services en E-commerce services? Lees dan snel verder en solliciteer! Wat bieden wij jou Marktconform Salaris! Doorgroei mogelijkheden! Een informele, dynamische werksfeer! Mogelijkheid tot deels thuis werken Uitdagende positie in een groeiende organisatie! Wie ben jij Jij beschikt hierbij over een juiste dosis enthousiasme en aansturende kwaliteiten. Verder: Jij beschikt over een HBO in de richting van informatiesystemen of

Bekijk vacature »

Business Intelligence Developer

Role: Business Intelligence Developer (Part time – 2/3 days a week) Location: The Netherlands (Fully Remote) Salary: €50,000 - €80,000 My client, one of the largest retail chains in the Netherlands with 200+ stores is seeking a talented BI Developer to join their team on a part time basis This role is a unique opportunity to maintain the environment and work within an exciting, fast growing organisation. Benefits include: Competitive pay scales Extremely generous holiday entitlement & Bonus Further salary progression based on performance. flexible working! Pension plan Main Responsibilities: ETL (Extract, Transform and Load) Maintaining the environment Creation of

Bekijk vacature »

SAP CRM Developer @ Den Haag

2021-07-26 iSense SAP CRM Developer Heb jij ervaring met SAP CRM/UI5 en Webdypro ABAP? Denk jij niet in problemen maar in oplossingen en wil jij met die oplossingen de business naar een hoger niveau tillen? Lees dan snel verder! ISKA50585 Organisatie De organisatie staat voor het leveren van een efficiënte en kwalitatief hoogwaardige salaris- en personeelsadministratie. Je gaat samenwerken met ICT-professionals met uiteenlopende kennis en achtergronden. Hou je van Agile samenwerken en kom je maximaal tot je recht in zelfsturende teams? Dan is dit de plaats waar jouw toekomst ligt. Voor deze functie zijn we op zoek naar een ervaren

Bekijk vacature »

C# .NET Core Ontwikkelaar

Locatie: Veel van onze werkzaamheden voeren wij uit op ons kantoor in Barendrecht of Nieuwegein of bij onze klanten in de regio. Momenteel werken wij zoveel mogelijk vanuit huis. In de toekomst zullen we juiste balans bieden tussen thuiswerken, op kantoor en of klant locatie. Binnen het domein transport en logistiek hebben wij dagelijks te maken met uitdagende vraagstukken op onder andere het vlak van Iot. Zo ontwikkelen wij bijvoorbeeld aan een Iot oplossing waar we van ruim 200.000 machines hun telemetrie en events verwerken. Dit komt neer op 200 miljoen berichten per dag. Hierin leggen we de focus op

Bekijk vacature »

Web Developer (m/w/d)

Web Developer IT and Infrastructure EMBL Heidelberg Closing date: 22 October 2021 Contract duration: 4 years (project related) Grading: 6, 7 or 8; depending on experience (monthly salary starting from 3.8k€ up to 4.8k€ after tax, plus other benefits)s Reference number: HD02055 IT Services operates and supports the IT infrastructure and services at EMBL headquarters in Heidelberg and at the laboratory’s sites in Barcelona and Rome. In collaboration with the EMBL-EBI in Cambridge our team is creating and implementing a new web infrastructure for all EMBL websites. We are looking to recruit an enthusiastic Web Developer to join the Software

Bekijk vacature »

Java developer / JavaScript Developer / Full stack

2021-09-14 iSense Java developer JavaScript Developer Full stack Ben jij een developer die zich zowel front- als backend inzetbaar is? Wil jij graag werken aan projecten voor bekende internationale klanten? Lees dan snel verder! ISHA50707 Organisatie Als Developer kom je te werken bij een organisatie die in opdracht werkt van bekende internationale organisaties. De organisatie staat er bekend om de complexe digitale wereld mooier en simpeler te maken. Ze houden zich bezig met het ontwikkelen van online campagnes, internettoepassingen en gebruikersplatformen. Denk hierbij aan websites, online shops en portals. Als Fullstack ontwikkelaar word je onderdeel van een multidisciplinair team die

Bekijk vacature »

Senior Front-end Developer

If you are enthusiastic about front-end programming, and want to join a rapidly growing company where there is plenty of room for creativity and innovation, this is your chance.    We are currently looking for a talented Senior Front-end Developer to join our Development team in Eindhoven fulltime.  What we offer  A great opportunity to make an impact in a fast-growing logistics start-up.  The possibility to grow within the company. An informal, transparent, international and open culture.  A competitive salary and 25 vacation days per year.  Other perks: travel allowance, a pension plan, a gym membership, team building activities.  Who are you?  You are passionate for programming, you are ambitious and eager to continue developing yourself, and you are not afraid of taking full ownership

Bekijk vacature »

Pagina: 1 2 volgende »

Tim S

Tim S

11/12/2012 13:02:13
Quote Anchor link
Hallo,

Ik zit met een vraag, is het veilig om acties uit te voeren via de url op een beveiligde pagina.

Dus stel ik wil een pagina aanpassen dan staat er in de url index.php&action=save-content&id=1. Als de gebruiker dan nu een 2 bij id invult dan wijzigt er een andere pagina, wat niet zo erg is wan het zijn zijn eigen pagina's. Maar als de gebruiker bezig is en halverwege per ongeluk op f5 drukt wordt dit ook meteen opgeslagen.

Zo zijn er natuurlijk meer voorbeelden, maar het gaat er om of dit veilig is en gebruikelijk??

Alvast bedankt
 
PHP hulp

PHP hulp

17/10/2021 03:00:34
 
Erwin H

Erwin H

11/12/2012 13:12:14
Quote Anchor link
Vuistregel:
GET - het verkrijgen van data van de server
POST - het verzenden van data naar de server

Als je deze vuistregel gebruikt zal je dus updates en inserts altijd via post requests doen. Ook is een post beter omdat je dan geen limiet hebt aan het aantal karakters dat je kunt versturen, wat bij get wel zo is. Het probleem van een veranderd id in de url ben je bij post ook kwijt. Kwaadwillende kunnen het zonder veel probleem nog steeds doen, maar per ongeluk zal het niet gebeuren.
 
Ozzie PHP

Ozzie PHP

11/12/2012 13:14:13
Quote Anchor link
Ik ga er vanuit dat je bekend bent met GET en POST requests. Wat jij doet, een actie via de url, is een GET request.

GET requests behoren gebruikt te worden om data op te halen / verkrijgen (to GET). POST requests zijn bedoeld om data te manipuleren. Opslaan acties behoor je eigenlijk dus niet te doen via een GET request, maar via een POST request met een formulier.
 
Tim S

Tim S

11/12/2012 13:19:17
Quote Anchor link
Het formulier wordt wel verstuurd met post, alleen de form action is pages.php&action=save-content&id=1.

Ik wil niet voor elke actie een apart php document ik doe dit liever op de pagina pages.php. Hierin heb ik dan een switch waarin in de afhandeling's documenten worden geinclude. Zo is het nog wel overzichtelijk maar heb ik wel alle documenten bij elkaar in een pagina.

Maar ik kan dus beter een hidden field gebruiken??
 
Chris PHP

Chris PHP

11/12/2012 13:20:04
Quote Anchor link
Tim Slootweg op 11/12/2012 13:02:13:
index.php&action=save-content&id=1.


Wat de twee heren hierboven zeggen klopt en kun je aanhouden. En om je snel uit te leggen waarom insert's, update's en delete's onveilig zijn via GET is als voglt.

Nu wijzig je de content van je id 1, maar als ik nu kwaad wil doen, zet ik daar bij id gewoon 2, 3, 4, etc neer om een ander record te wijzigen.

Dus kan er heel makkelijk verkeerde gegevens gewijzigd worden, escapes en 'invoerveiligheid' zijn dan niet van toepassing, want ik blijf een int (cijfer) geven alleen niet het id wat de bedoeling was.
 
Erwin H

Erwin H

11/12/2012 13:26:15
Quote Anchor link
Die 'action' parameter kan je gewoon behouden. Zelfs ook in de url of in een hidden input. Het id zou je echt niet in de url moeten plaatsen, maar ook in een hidden input.
 
Tim S

Tim S

11/12/2012 13:37:45
Quote Anchor link
Ja ik kan de id natuurlijk ook gewoon in het php gedeelte ophalen dus die hoeft dan niet in het formulier...

Alleen kom je als je op een pagina link klikt op de de pagina pages.php&action=view&id=1, nu haal ik gegevens op dus dit is goed. Op de view pagina staat boven de pagina een menu met de acties die je kunt uitvoeren. Als ik dan bijvoorbeeld de content ga wijzigen opent er een dialog met het formulier(tiny mce). Als ik dan op submit druk verstuur ik het formulier met method post. Maar als ik dan $_GET gebruik heb je nog steeds de id van pages.php&action=view&id=1 en deze is dan alsnog aan te passen. Zelfs als ik dit op het php gedeelte heb.

Dus kortom ik loop alleen even vast met de id...
 
Erwin H

Erwin H

11/12/2012 13:41:27
Quote Anchor link
Je kan dan ook het id nog in een hidden input plaatsen. Die gaat dan mee met de POST en die is bepalend. Bij een update gebruik je alleen de waarde in de POST en niet die in de GET.
 
Moose -

Moose -

11/12/2012 13:42:12
Quote Anchor link
Het is ook helemaal niet erg om die id in je url neer te zetten. Zolang je bij het opslaan van de data maar kijkt of je gebruiker ook daadwerkelijk dat id mag aanpassen
 
Tim S

Tim S

11/12/2012 13:43:43
Quote Anchor link
Maar als ik de id in een hidden field stop is het ergste probleem wel opgelost

Toevoeging op 11/12/2012 13:44:32:

Ja had het laatste bericht niet gezien, maar zo moet het dan wel werken.
 
Ozzie PHP

Ozzie PHP

11/12/2012 13:53:56
Quote Anchor link
Oh, wellicht ten overvloede...

Je hebt het over een beveiligde pagina. Ik weet niet exact hoe je dit gedaan hebt, maar stel... ik log in en vervolgens krijg ik dan een overzicht te zien van items die ik kan verwijderen. Allemaal prima. Echter, realiseer je wel dat ik als ik niet ben ingelogd nog steeds diezelfde url's kan aanroepen. Je zult dus voorafgaand aan iedere verwijder actie moeten controleren of de betreffende persoon is ingelogd.
 
Tim S

Tim S

11/12/2012 14:25:58
Quote Anchor link
De gebruiker moet inloggen om de pagina te bezoeken.
Als je het heel uitgebreid wilt doen kunt je werken met een user class met rechten, maar dit is nu goed.
 
Ozzie PHP

Ozzie PHP

11/12/2012 14:41:52
Quote Anchor link
Ja, maar snap je wat ik bedoel? De gebruiker logt in en krijgt dan de links te zien. Echter, een niet ingelogde gebruiker kan nog steeds de links aanroepen zonder ingelogd te zijn.
 
Tim S

Tim S

11/12/2012 14:45:39
Quote Anchor link
Hij kan ze wel aanroepen maar dan krijgt hij of zij de inlog pagina te zien. Misschien zie ik iets over het hoofd??

Toevoeging op 11/12/2012 14:47:24:

De beheer pagina is wel een aparte pagina.
 
Ozzie PHP

Ozzie PHP

11/12/2012 14:52:45
Quote Anchor link
Tim Slootweg op 11/12/2012 14:45:39:
Hij kan ze wel aanroepen maar dan krijgt hij of zij de inlog pagina te zien.

Oké, dan kan een kwaadwillende in ieder geval niks verwijderen. Lijkt me prima.
 
Tim S

Tim S

11/12/2012 15:05:02
Quote Anchor link
Ja mij ook en voor als ik het systeem ga uitbreiden ga ik wel iets gaan doen met rechten.
 
Kris Peeters

Kris Peeters

11/12/2012 15:28:19
Quote Anchor link
Okay, de discussie verlegt zich wat naar "rechten".

Een Admin panneel valt of staat bij een deftig inlog systeem.
Daarbij kunnen leden een "rol" krijgen (bv. "moderator", "contributor", "admin").

Een stuk content (bv. een bericht) krijgt altijd een auteur mee.

Bij het aanpassen of verwijderen moet je dus eerst controleren of de gebruiker rechten heeft om dit te verwijderen/aanpassen.

bv.
Een admin heeft alle rechten.
Een moderator mag alle pagina's aanpassen.
Een contributor mag enkel de eigen posts aanpassen.

Dus, dit alles hoor je te controleren.
 
Mark Hogeveen

Mark Hogeveen

11/12/2012 15:44:43
Quote Anchor link
Maar jullie zeggen aan het begin dat GET uitsluitend bedoeld is om data van de server zelf te ontvangen.
Maar hoe zit dat dan met de navigatie van bijna alle sites? Als ik bijvoorbeeld www.domeinnaam.nl/home heb dan is home of een map, of een bestand, waarbij de extentie is weggewerkt met mod rewrite of het is gewoon een get variabele die geen vraagteken of engelse "and" teken bevat omdat deze is ge mod rewrite.
Veel sites gebruiken dus GET variabelen om de gebruiker te navigeren naar een pagina, en dan is het vaak al de bedoeling dat de gebruiker die GET variabele zelf typt achter de domeinnaam.
Het is dus niet van de server.
Maar als je een menu met links op een pagina zet, en je klikt op een link die verwijst naar bijvoorbeeld www.domeinnaam.nl?page=home
Dan komt die GET ook niet van de server.
Facebookpagina's zijn een voorbeeld...
Gewijzigd op 11/12/2012 15:46:07 door Mark Hogeveen
 
Kris Peeters

Kris Peeters

11/12/2012 15:52:40
Quote Anchor link
Via mod rewrite kan je inderdaad GET-variabelen wat verstoppen. Maar het blijven wel GET-variabelen.
Kijk eens naar de url van deze pagina hier.

We zitten hier op en topic met id=88101
mod rewrite herschrijft dat dus in iets wat "mooier" is.
 
Tim S

Tim S

11/12/2012 15:54:10
Quote Anchor link
@kris
Ja dit klopt bij mij is er alleen admin recht op dit momen. En hoe noem je het dan als er iemand is die wel alle pagina's mag aanpasen maar niet mag verwijren bijv.

@harry,

Volgens mij staan alle bestande op een server, dus haal je met $_get gewoon iets van de server
Gewijzigd op 11/12/2012 15:55:31 door Tim S
 
Mark Hogeveen

Mark Hogeveen

11/12/2012 16:14:04
Quote Anchor link
Tuurlijk staan alle bestanden op de server, maar de GET request komt niet van de server maar van de browser, dat bedoel ik.
 

Pagina: 1 2 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.