Externe variabelen

nog een leuke is het verwijderen van een tabel op de volgende manier:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
$query = "DELETE FROM berichten WHERE id=".$_GET["id"];
?>


Nu zal in de browser balk het volgende zichtbaar zijn:

delete.php?id=1

hier kan dus idereen zomaar invullen wat hij wil, je moet dus een controle middel hebben:

Als eerste moet je controleren of id wel een getal is:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
<?php
if(is_numeric($_GET['id'])){
    // id = een getal.
}
?>


nu kan nog zomaar steeds idereen dit bericht verwijderen en dus moet je kijken of de persoon wel bevoegt is om dit bericht te verwijderen, bijvoorbeel:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
$query = "DELETE FROM berichten WHERE id=".$_GET["id"]." AND maker='".$_SESSION['loginnaam']."';";
?>


voor $_GET en $_POST geld exact het zelfde, deze zijn bijde te beinvloeden, maar ook de meeste $_SERVER variabelen zijn te beinvloeden!!

denk hierbij bijvoorbeeld aan $_SERVER['USER_AGENT'];

« vorige pagina

« Lees de omschrijving en reacties

Inhoudsopgave

  1. Includes
  2. MySQL Injection
  3. Error afhandeling
  4. Externe variabelen

PHP tutorial opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.