[Q&A] Beveiliging algemeen

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Application Developer Tech Lead

REMOTE WORK POSSIBLE FOR THIS ROLE As a Tech Lead Developer at UPS you work on delivering functionality for highly complex IT systems. You collaborate in agile teams and participate in emerging technologies and processes like CI/CD and DevOps to ensure that we meet our objectives effectively and efficiently. Your primary role is to perform full system life cycle activities, e.g. analysis, technical requirements, design, coding, testing and the implementation of software. Working in our Europe development center in Eindhoven means working in an international team with onsite people as well as team members located in other parts of the

Bekijk vacature »

Full Stack Java Developer

Do you embody the Agile principles? Do you have passion for innovation and get motivated by complex challenges and innovative solutions? Are you ready for working with state of the art technology stacks? Do you have enough experience to quickly and adaptively deploy new frameworks and tools for our customers? Your day-to-day activities As an experienced full stack Java Developer you design, develop and test software systems and applications. You know what the software system of the client needs to do and you find ways to improve and revolutionize them. You create software tailored to the clients’ specific needs. High

Bekijk vacature »

Application Developer Tech Lead

REMOTE WORK POSSIBLE FOR THIS ROLE As a Tech Lead Developer at UPS you work on delivering functionality for highly complex IT systems. You collaborate in agile teams and participate in emerging technologies and processes like CI/CD and DevOps to ensure that we meet our objectives effectively and efficiently. Your primary role is to perform full system life cycle activities, e.g. analysis, technical requirements, design, coding, testing and the implementation of software. Working in our Europe development center in Eindhoven means working in an international team with onsite people as well as team members located in other parts of the

Bekijk vacature »

Back-end Developer - Medior

Do you have experience in PHP and love OOP? Would you like to help with an improvement project for a large international customer? Then this is probably the role for you! Job Description You are responsible for developing, maintaining, and testing software as a back-end developer. Databases, integration, APIs, and other back-end processes are all examples. We're looking for a developer who has worked with large amounts of data and is excited to work with our own framework. Responsibilities Developing in PHP and loving to do it OOP style; Knowing JavaScript as second language; Speaks SQL too; Developing what the

Bekijk vacature »

WordPress frontend developer (32-40 uur)

Wij zijn op zoek naar een ontwikkelaar voor het werken aan nieuwe websites. Je zal je vooral bezig houden met frontend ontwikkeling. Hierbij is gedegen kennis van WordPress-templates, CSS en een gevoel voor vormgeving onontbeerlijk. Naast het maken van nieuwe websites onderhoud jij deze websites en applicaties. Groei en resultaat van onze opdrachtgevers kan niet zonder een mooie en goed werkende website. We zijn op zoek naar een ontwikkelaar die veel weet van WordPress, CSS en JavaScript en gevoel heeft voor webdesign. Vind je het leuk om jezelf verder te ontwikkelen in het maken en beheren van WordPress websites? Dan

Bekijk vacature »

Medior .Net ontwikkelaar gezocht voor logistieke s

Bedrijfsomschrijving Deze ruim 120 man sterke organisatie is één van de grootste Nederlandse bedrijven op het gebied van logistiek en vervoer, ze bestaan al enige decennia en hebben vooral de laatste 20 jaar veel geïnvesteerd in hun digitale systemen. Er werken zo'n 10 mensen binnen hun IT-team, op dit moment zijn ze op zoek naar verschillende ontwikkelaars om dit team te versterken en vanuit daar een nog sterkere digitale infrastructuur te realiseren. De sfeer binnen dit bedrijf is informeel en prettig. Vernieuwende ideeën en input vanuit werknemers wordt erg gewaardeerd en vaak is er genoeg ruimte om deze uit te

Bekijk vacature »

Junior Mendix Developer - Infrastructure

Bedenk jij voor ieder business vraagstuk de juiste oplossingen en weet jij daarbij perfect gebruik te maken van alle mogelijkheden vanuit het Mendix platform? Wat ga je doen? Als Mendix Developer begeleid en adviseer je onze klanten bij het analyseren van hun aangegeven business problematiek. Hierbij denk je buiten de gevestigde kaders en weet je optimaal gebruik te maken van de mogelijkheden die geboden worden vanuit het Mendix platform. Vaak heb je een pioniersfunctie en vorm je het eerste aanspreekpunt voor de klant. Het oplossen van een business vraagstuk is jouw passie en met behulp van de Mendix technologie ben

Bekijk vacature »

Java Developer - Overheid

Wil jij een bijdrage leveren aan de ontwikkeling van de digitale overheid en de maatschappelijke vraagstukken waar we met elkaar voor staan? Bel of Whatsapp met Mark Hartman via 06 29070400! Als Java ontwikkelaar houd jij je bezig met het realiseren van mooie en innovatieve oplossingen voor de Nederlandse overheid. • Hoe? Het ontwerpen en ontwikkelen met Java in een van onze complexe projecten. • Waarom? Om met jouw code het verschil te maken in het hart van de digitale overheid in Nederland. • Waar? Bij CGI in Rotterdam, dé IT-specialist op het gebied van digitale overheid. • Met wie?

Bekijk vacature »

Graduate Java Developer

Graduate Java Developer Role: Junior Java Developer – Graduate Program! Location: Amsterdam, Netherlands APPLY TODAY!!!!! My client, a global powerhouse in innovation and technology are offering a tailored and unique graduate program for those looking to start a successful career in development. You will be welcomed by an enthusiastic team of senior consultants who are there to help and coach you through your journey. What will you work with in this program? Java 13 Hibernate REST js React Angular Bootstrap JavaScript Spring CSS Vue Benefits include: 30 days holiday + 8% Yearly Company Bonus – 10-15% €5,000 annual personal training

Bekijk vacature »

IT-Traineeship junior software programmeur

Zoek jij een stevige uitdaging en de mogelijkheid om veel nieuwe dingen te leren in een dynamisch vakgebied? Doe mee aan ons IT Professional Program en ontwikkel jezelf tot software engineer! Je begint met een opleidingstraject van ongeveer 4 maanden. Hierin ga je aan de slag met verschillende technieken die je op conceptueel niveau leert te overzien en interpreteren. Onderwerpen die aan bod komen zijn o.a. programmeren (Java/C#/Python), Object Oriëntatie, Databases, Webservices & webtechnologieën, Domain Driven Design en Continuous Integration/Continuous Delivery. Sommige van deze onderdelen sluit je af met een examen en bijbehorende certificering. Het opleidingstraject zelf sluit je af

Bekijk vacature »

Python developer @ Nederland

2021-06-28 iSense Python developer Python Developer Full Stack ISW50340 Nieuw Organisatie Onze klant is een zakelijke dienstverlener in de regio Rotterdam, bij hun staat de medewerker centraal en daarna de klant. Ze zijn op zoek naar Phyton Developer om hun klanten te helpen bij de digitale transformatie. Je gaat werken voor grote uitdagende klanten en ontwikkelen aan enterprise applicaties. Samen met het team bouw je de gewenste oplossingen. Naast het bouwen van oplossingen denk je mee met de klant en adviseer je de klant over bepaalde technische vraagstukken. De focus ligt bij deze functie vooral op de back-end. Ben jij

Bekijk vacature »

Magento Developer

Bedrijfsomschrijving Dit informele bedrijf dat een aantal bekende webshops in beheer heeft is per direct op zoek naar een Senior Magento developer die de lopende webshops en andere e-commerce uitingen naar zijn hand zet. Deze gezellige organisatie telt 13 innovatieve jonge en ervaren medewerkers. Ze realiseren en beheren succesvolle webshop oplossingen en doen dit van A tot Z. Hierbij kun je denken aan bijvoorbeeld oplossingen voor warehouse en koppelingen naar kassasystemen. Bij dit bedrijf willen ze niet alleen een webshop opleveren maar gaat het om het doorontwikkelen, verbeteren en optimaliseren. Op dit moment zoeken zij een senior PHP developer die

Bekijk vacature »

Manager Softwareontwikkeling en ICT Infrastructuur

Manager Softwareontwikkeling en ICT- Infrastructuur 0,8 – 1,0 fte Standplaats: Arnhem Ben je op zoek naar een werkgever waar je jouw creativiteit op het gebied van ICT en innovatie kwijt kan? Krijg je graag de ruimte om creatieve ideeën op het gebied van ICT en innovatie los te laten op onze dienstverlening om zo de beste te zijn en voorop te (blijven) lopen? Inkassier loopt voorop als het gaat om IT-ontwikkeling en innovatie. Maar deze voorsprong willen we nòg groter maken. Hiervoor zijn we op zoek naar een creatieve en ambitieuze manager softwareontwikkeling en ICT-infrastructuur. Iemand die zich onderscheid van

Bekijk vacature »

WO Master Software Ontwikkelaar C++ / C#

Voor wie je gaat werken: Wij zijn gespecialiseerd in het gebied van duurzaam aanpasbare business gedreven software. Ben jij een software developer? Heb je ervaring met C++, C#, Java of een andere taal? Vaste baan: Software Ontwikkelaar C++ C# 3.000 - 5.000 Software Ontwikkelaar Ons bedrijf bouwt klant specifieke informatiesystemen voor de integrale ondersteuning van bedrijfsprocessen. Chats, interactieve dashboards, mobile apps en….jouw innovatieve ideeën?! Wij werken altijd aan nieuwe innovatieve oplossingen. Bij ons werk je aan onze eigen bedrijfsapplicaties. Je ontwikkelt met ons de meest nieuwe software. Wij blinken uit als het gaat om de inzet van technologie. Wij staan

Bekijk vacature »

Oracle APEX Developer / PL/SQL @ Hilversum

2021-06-21 iSense Oracle APEX Developer PL/SQL Heb jij je altijd al willen verdiepen in Oracle APEX of kent Orale APEX geen geheimen meer voor jou? En vind jij het leuk om naast het Oracle ontwikkelwerk veel met de business te schakelen? Lees dan snel verder! ISVR47872 Organisatie Als je altijd al in een Europees georiënteerde organisatie hebt willen werken, ben je hier aan het juiste adres! De organisatie biedt IT- en communicatieoplossingen aan kleine, middelgrote en grote ondernemingen in zowel de private als de publieke sector. De innovatieve oplossingen, ontworpen voor open connectiviteit, hoge beschikbaarheid en flexibele groei, bevatten de

Bekijk vacature »

Pagina: 1 2 3 volgende »

Chris -

Chris -

05/08/2013 17:51:35
Quote Anchor link
SQL Injecties is de nummer één oorzaak van een gehackte website. Toch zijn er nog veel mensen die er nog nooit van hebben gehoord, of er te weinig van af weten.

Buiten SQL Injecties zijn er natuurlijk nog veel meer dingen met betrekking tot beveiliging. Om die reden is het topic veranderd van SQL Injecties, naar beveiliging algemeen. Alle beveiliging-gerelateerde vragen kunnen hier worden gesteld.

Om het een beetje overzichtelijk te houden, wil ik het volgende voorstellen. Wanneer je een vraag hebt, stel je deze als volgt: (de quote moet je dus even zien als een losse reactie, maar laat het iets beter zien!)

Willekeurig - op 05/08/2013 17:45:00:
Vraag: Ik heb de volgende query. Is deze voldoende beveiligd?
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
<?php
include('configuration.php'); // Vanuit hier wordt de SQL-verbinding opgezet

$veld_3 = !empty($_GET['veld_3']) ? mysql_real_escape_string($_GET['veld_3']) : 1;
$resource = mysql_query("SELECT id, veld_1, veld_2 FROM willekeurige_tabel WHERE veld_3 = " . $veld_3);
?>


Een antwoord zou dan zijn:
Quote:
Willekeurig - op 05/08/2013 17:45:00:
Vraag: Ik heb de volgende query. Is deze voldoende beveiligd?
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
<?php
include('configuration.php'); // Vanuit hier wordt de SQL-verbinding opgezet

$veld_3 = !empty($_GET['veld_3']) ? mysql_real_escape_string($_GET['veld_3']) : 1;
$resource = mysql_query("SELECT id, veld_1, veld_2 FROM willekeurige_tabel WHERE veld_3 = " . $veld_3);
?>

Antwoord: Je gaat er op dit moment van uit dat veld_3 een integer is, aangezien je geen quotes gebruik. Controleer daarom met ctype_digit of de variabele een integer is:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
<?php
if (!empty($_GET['veld_3']) && ctype_digit($_GET['veld_3'])) {
    $veld_3 = $_GET['veld_3'];
}

else {
    $veld_3 = 1;
}

?>

Zolang je dit controleer, hoef je de variabele niet te escapen.


Om gelijk wat interessant leesvoer aan te bieden, lees het volgende topic op StackOverflow maar eens: SQL-injection that gets around mysql_real_escape_string?
Gewijzigd op 06/08/2013 14:00:51 door Chris -
 
PHP hulp

PHP hulp

04/08/2021 10:22:52
 
Landleven Tips

Landleven Tips

05/08/2013 18:38:53
Quote Anchor link
Hallo,

Volgens jouw bericht, en de genoemde link hoef ik dus geen mysqli_real_escape_string() te gebruiken, als ik er ctype_digit() over de input field zet. Dit deel begrijp ik nog niet helemaal, of begrijp ik het verkeerd?
 
Dennis WhoCares

Dennis WhoCares

05/08/2013 18:47:32
Quote Anchor link
ctype_digit($getal) geeft een waarde terug. true / false
Hiermee controlleer je dus of $getal een getal is. Zo ja, dan kun je query uitvoeren.
Als dat het enige user input is van je query, hoef je inderdaad geen mysqli_real_escape_string() te gebruiken.
 
Landleven Tips

Landleven Tips

05/08/2013 18:58:08
Quote Anchor link
Hallo Dennis,

Bedankt voor je snelle antwoord, hoe zit het dan met tekst. Is daarvoor mysqli_real_escape string() ook veilig genoeg, of kan je daarbij ook ctype_alnum() gebruiken zonder mysqli_real_escape_string() zoals getoont in de onderstaande code:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?php
if (!empty($_GET['veld_3']) && ctype_alnum($_GET['veld_3'])) {
    $veld_3 = $_GET['veld_3'];
}

else {
    $veld_3 = 'Geen geldige waarde!';
}


?>


Laten we hierbij dan zeggen dat veld_3 de teskt [Hallo 'OR 1=1 " mensen] is.
Gewijzigd op 05/08/2013 18:59:22 door Landleven Tips
 
Dennis WhoCares

Dennis WhoCares

05/08/2013 19:02:19
Quote Anchor link
Dat klopt, want ctype_alnum($var) geeft true of false terug, op basis van het feit of de $var alleen maar uit letters en/of cijfers bestaat.

Ook in dit geval als er geen speciale tekens mogelijk zijn voor user input, is ook hier mysqli_real_escape_string() niet nodig
 
Landleven Tips

Landleven Tips

05/08/2013 19:06:31
Quote Anchor link
Dus samengevat, als ik ctype_alnum($var) gebruik, of ctype_digit of een andere ctype_* hoeft er dus geen mysqli_real_escpae_string($var) erbij. Eigelijk wordt hierbij dus mysqli_real_escpae_string($var) overbodig.
 
Dennis WhoCares

Dennis WhoCares

05/08/2013 19:10:32
Quote Anchor link
Nee, dat is niet waar.
Het ligt maar net aan de doelstelling van je script.
Als voorbeeld, een shoutbox, chatbox, gastenboek w.e
Soms is het dus wel handig / leuk / vriendelijk dat mensen ook , . ( ) enz. kunnen gebruiken.
Daarbij is het zeer zeker noodzakelijk dat je mysqli_real_escape_string($var) gebruik.
De overige functies waar het zojuist om ging, gebruik je om je input te controlleren.
Als een soort foutafhandeling, voordat je de query uitvoerd.
 
Chris -

Chris -

05/08/2013 19:12:29
Quote Anchor link
Let er wel even op dat als je bijvoorbeeld 's-Gravenhage doet, deze dan niet door die validaties heen gaat..

Toevoeging op 05/08/2013 19:13:37:

Het moet een toevoeging zijn (valideren van de input, zoals je dat altijd hoort te doen), geen volledige afhankelijk. Met ID's die vaak numeriek zijn kan het een stuk makkelijker. Gebruik verder altijd de laatste versies van MySQL en schrijf je queries gewoon goed. En het liefste PDO, maar dan wel op de manier die op SO is uitgelegd :)
 
Landleven Tips

Landleven Tips

05/08/2013 19:17:22
Quote Anchor link
Hallo alle,

Het gaat hierbij bijvoorbeeld om een input field waar de gebruiker een gebruikersnaam in kunnen voeren, hierbij wil ik geen ' () - enz in hebben. Daarvoor dus ctype_alnum() voldoende moeten zijn volgens Dennis WhoCares.
 
Dennis WhoCares

Dennis WhoCares

05/08/2013 19:22:49
Quote Anchor link
Dat klopt:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
if($_SERVER['REQUEST_METHOD'] == 'POST')  {
 $error = array();
 if(!ctype_alnum($_POST['login_username'])) {
   $error[] = '<li>U heeft een ongeldige gebruikersnaam ingevoerd!</li>';
 }

 if(empty($error)) {
  echo 'SQL query uitvoeren voor gebruikersnaam ' . $_POST['login_username'];
 }
else {
  echo 'Foutmelding: <ul>' . implode($error) . '</ul>';
 }
}
else {
 echo 'Login form...';
}

?>

Maar dan is het nog niet waar dat de gehele functie mysqli_real_escape_string() te verwaarlozen is.
Zoals ik al aangaf en Chris- dus ook. Het is geheel afhankelijk van de doelstelling van de user input.
Gewijzigd op 05/08/2013 19:28:19 door Dennis WhoCares
 
Landleven Tips

Landleven Tips

05/08/2013 19:25:25
Quote Anchor link
Oke, bedankt voor de uitleg nu snap ik het.
 
Francoi gckx

Francoi gckx

05/08/2013 20:58:40
Quote Anchor link
Is het beter om vóór prepared PDO statements ook met mysqli_real_escape string te beveiligen of onnodig?
 
Chris -

Chris -

05/08/2013 21:01:02
Quote Anchor link
Juist niet!! Anders heeft het geen nut..
 
Francoi gckx

Francoi gckx

05/08/2013 21:11:55
Quote Anchor link
Dus gewoon alleen prepared statements?

Kan je ook een ander topics maken voor andere beveiligingpreventies zoals XSS
 
Chris -

Chris -

05/08/2013 21:12:56
Quote Anchor link
Voor XSS is het nog simpeler ;-) htmlentities over de variabele zetten op het moment dat je de variable in je document echo't!
 
Francoi gckx

Francoi gckx

05/08/2013 21:17:27
Quote Anchor link
En CSRF?
 
Chris -

Chris -

05/08/2013 22:04:24
Quote Anchor link
Da's inderdaad wel een heel ander topic! Heb ik ook iets meer tijd voor nodig...
 
Francoi gckx

Francoi gckx

05/08/2013 22:20:52
Quote Anchor link
Alvast Bedankt zou echt handig zijn!
 
Chris PHP

Chris PHP

06/08/2013 08:02:36
Quote Anchor link
Chris - op 05/08/2013 17:51:35:
SQL Injecties is de nummer één oorzaak van een gehackte website.


Niet mee eens, er wordt vaker code geinjecteerd in pagina's en advertenties dan dat er daadwerkelijk SQL injecties plaatsvinden. Anno 2013 weten mensen inmiddels dat je queries moet beveiligen, alle 'PHP and MySQL' boeken leggen ook uit dat je dit moet doen en hoe.
 
Chris -

Chris -

06/08/2013 08:58:53
Quote Anchor link
Chris, laat maar zien waar je dat vandaan haalt. Mijn ervaring (en ik heb redelijk wat ervaring) plus de statistieken vertellen nog steeds: SQL injecties staat op 1.
 
Chris PHP

Chris PHP

06/08/2013 09:10:20
Quote Anchor link
@Chris,

Hier een lijst die ik gevonden heb met de top 20 hacking methodes. SQL injection staat op 19.

Quote:
1.Bypassing Flash’s local-with-filesystem Sandbox
2.Abusing HTTP Status Codes to Expose Private Information
3.SpyTunes: Find out what iTunes music someone else has
4.CSRF: Flash + 307 redirect = Game Over
5.Close encounters of the third kind (client-side JavaScript vulnerabilities)
6.Tracking users that block cookies with a HTTP redirect
7.The Failure of Noise-Based Non-Continuous Audio Captchas
8.Kindle Touch (5.0) Jailbreak/Root and SSH
9.NULLs in entities in Firefox
10.Timing Attacks on CSS Shaders
11.CSRF with JSON – leveraging XHR and CORS
12.Double eval() for DOM based XSS
13.Hidden XSS Attacking the Desktop & Mobile Platforms
14.Rapid history extraction through non-destructive cache timing (v8)
15.Lotus Notes Formula Injection
16.Stripping Referrer for fun and profit
17.How to upload arbitrary file contents cross-domain (2)
18.Exploiting the unexploitable XSS with clickjacking
19.How to get SQL query contents from SQL injection flaw
20.XSS-Track as a HTML5 WebSockets traffic sniffer


Waar is jou lijst?
 

Pagina: 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.