kan momenteel niet echt veel meer vinden...
URL is beveiligd, alle textboxen zijn beveiligd...
alleen het volgende is wel een beetje......
"ERROR!
Dont try to hack our site with SQL injections!"
je kunt het ook gewoon negeren en mysql_real_escape_string() gebruiken om SQLinjecties te voorkomen...
In dat geval zou hetzelfde getoond worden als:
http://runescape.bsysmedia.nl/page.php?x=
wat toch weer wat netter is...
als ik zou willen, zou ik binnen een dag een robot kunnen maken die je gastenboek alsnog helemaal volspamt...
Doordat de eerste letter elke keer op dezelfde plek staat, kan ik aan de hand van pixelkleur op bepaalde plekken de letter/cijfer bepalen, aan de hand daarvan de locatie van de 2e letter/cijfer, dus die ook bepalen etc... zo kan ik ze alle 5 bebalen en je hele gastenboek weer volspammen.... Een paar strepen erdoorheen / de hoogte van elke letter/cijfer wijzigen zouden dit al teniet kunnen doen....
Verder ben ik ook in staat om je gehele gasten boek "plat" te leggen, zodat niemand meer iets kan invoeren...
Door gewoon een progje te maken dat de gehele dag door deze pagina aanroept:
http://runescape.bsysmedia.nl/includes/security_code.php
Daardoor veranderd de code elke keer weer, en als jij dan je bericht wilt invoeren, ben je al zijn er al honderden nieuwe codes langsgekomen....
Een makkelijke oplossing daardoor is het volgende:
- Maak een tabel aan met 2 rijen.
- De eerste rij noem je code, de 2e rij noem je md5
- Bij het laden van het gastenboekform, maak je een code aan en sla deze, samen met de md5 ervan op in de database.
- de security code roep je aan door middel van:
/includes/security_code.php?HierMd5Code
- security_code.php zal in de database de bijbehorende code ophalen en tonen als afbeelding.
- Als ik nu naar "security_code.php" ga heeft ie geen md5 meegekregen, dus ff errorhandler inbouwen...
- ik kan er nu niet meer voor zorgen dat het gastenboek niet meer werkt..
Een ander voordeel van deze methode: Als ik nu met 10 mensen naar het gastenboek ga, en ik wil een bericht typen, dan zijn er alweer 9 andere codes voorbij gegaan.... met mijn methode, zoals hierboven, maakt dat allemaal niets uit en zal ik direct kunnen posten!
Succes ermee!
Jeffrey
p.s. het hoeft geen md5 te zijn, mag ook een willekeurige andere code zijn... md5 is gewoon makkelijk en lekker lang
----Edit----
er zit nog een javascript fout in...
PHP:
TabView.prototype.newTab = function(id, current){
var TabViewElem, idx = 0, el = '', elTabs = '', elPages = '';
TabViewElem = document.getElementById(id);
TabView.arTabView[TabView.cnt] = TabViewElem;
this.TabElem = TabViewElem;
this.TabElem.TabView = this;
this.tabCnt = 0;
this.arTab = new Array();
// Loop throught the elements till the object with
// classname 'Tabs' is obtained
elTabs = TabViewElem.firstChild;
while(elTabs.className != "Tabs" )elTabs = elTabs.nextSibling;
el = elTabs.firstChild;
do{
if(el.tagName == "A"){
el.href = "javascript:TabView.switchTab(" + TabView.cnt + "," + idx + ");";
this.arTab[idx] = new Array(el, 0);
this.tabCnt = idx++;
}
}while (el = el.nextSibling);
"this.TabElem is null"
