Veiligheid website

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Jasper

jasper

17/01/2006 18:27:00
Quote Anchor link
op wat moet ik vooral letten als ik een website bouw om deze veilig te maken ? heb ook een volledig CMS systeem, waarmee moet ik rekening houden ? en wat kan een gebruiker zo al verkeerd invoeren en dergelijke ?
 
PHP hulp

PHP hulp

18/05/2021 20:08:36
 

17/01/2006 18:36:00
Quote Anchor link
SQL Injection
Mail Injection
HTML Etc
 
Han eev

Han eev

17/01/2006 18:37:00
Quote Anchor link
Je moet altijd de userinout checken, dus wat de gebruiker invult.
Je moet ook letten op ' daarmee kan hij je site beinvloeden
Door mysql bijv.
SELECT * FROM lalal WHERE login=$_GET['login']
als je van login maakt
?login=1 OR login < 100000
Dan kan het zijn dat je zomaar inlogt.
En zo kan je natuurlijk veel verder denken.

Han
 
Jasper

jasper

17/01/2006 18:39:00
Quote Anchor link
@han, bestaat hier dan een handige functie voor of moet je telkens een controle doen per invuldveld, naar het behoeven van het veld ? of bestaat er een functie zoals tege een mysql injection. dat heb wel al voorzien.
 

17/01/2006 18:41:00
Quote Anchor link
er is inderdaad geen makkelijke standaard functie voor, maar er zijn wel standaardfuncties die voor veel gevallen opgaan. Dingen als stripslashes en addslashes().
 
Eric Cartman

Eric Cartman

17/01/2006 18:43:00
Quote Anchor link
Zelf vindt ik dit een heel goed artikel, met veel nuttige tips.
http://www.phpfreakz.nl/artikelen.php?aid=106

Wat ook aan te raden is om eens op hack-sites's en hack-forums te gaan kijken, vragen gaan stellen hoe ze dat nou doen. Zo kun je er zelf beveiligingen tegen verzinnen, je eigen website erop testen. Ook kun je zo'n hacker vragen jou site eens te testen, maar kies er wel één uit die je volledig vertrouwt...
Meestal zijn er ook wel hackers die veel over beveiligingen weten (bijna wel logisch) en die je heel goed kunnen helpen.

-- edit --
Wat betreft die functies, maak er zelf 1! Je controleert bijvoorbeel met strip_tags, htmlentities, strlen en meer van zulk soort functies. Die doe je in een functie, of een class beveiliging.
Gewijzigd op 17/01/2006 18:45:00 door Eric Cartman
 
Niels Beckers

Niels Beckers

17/01/2006 18:47:00
Quote Anchor link
sebas: wat bedoel je met de mail injection?
 
Eric Cartman

Eric Cartman

17/01/2006 18:53:00
Quote Anchor link
Er was toen zo'n mooi topic over op PHPhulp: (klik)
 
Jasper

jasper

17/01/2006 18:56:00
Quote Anchor link
@jip
Dat artikkel is idd zeer intressant! heb het al eens rap doorgenomen en ziet er goed uit! ga ik ook aan enkele maten geven.

Dit script heb ik idd gebruikt tegen een Mysql injection! waarvoor dank aan de schrijver ervan en phphulp!, nog tips waarop ik moet letten ?
 
Jelmer -

Jelmer -

17/01/2006 19:57:00
Quote Anchor link
Gebruiksvriendelijkheid en duidelijkheid. Een van de veel voorkomende knelpunten is het invoeren van data. Dat kan op heel veel verschillende manieren. Je moet de gebruiker dus 1 manier afdwingen (bijv. verschillende vakjes voor dag, maand, jaar, of een select-menu voor dag, maand, jaar) of, wat nog veel beter is, bijna alle manieren ondersteunen. Dat laatste is moeilijk, maar wordt wel erg gewardeerd.

Zo is het ook met wachtwoorden, e-mailadressen, urls (wel of niet http, automatisch www.*.* omzetten naar geldige url, enz)

En maak duidelijk wat de beveiligingsrisico's zijn aan de gebruiker. Waneer deze bijvoorbeeld in admin-modus is ingelogd (gebruiker en admin scheiden, dus vor admin opnieuw moeten inloggen, is ook al een hele verbetering) duidelijk aangeven dat de gebruiker alles kan aanpassen. En dat het aangeraden wordt om bij normaal gebruik in gebruikers-modus rond te dwalen.

En dan heb je nog de technische dingen zoals session-kaping, koekjes, javascript (bijvoorbeeld in berichten in een gastenboek of reacties), lekken in de ubb-code (zag phphulp) enz.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.