[Vraagje] Hoe veilig is mijn registratie script?

[slabbetje]

Ik ben al een tijdje bezig met het script maar nu wil ik eigenlijk wel weten hoe veilig is het en hoe kan ik dat beter doen dan het aan andere te vragen...
want mischien heb ik nog wat over het hoofd gezien..
niet alles staat erin en de includes voor je injecties etc. word via de index gedaan werkt allemaal gewoon
het script zelf heb ik ff in txt's gezet en geupload op mn sitehost omdat het best groot is

Link:
http://slabbetje.prohosts.org/check

 

[Tha Devil]

Link werkt niet...

Ik word naar een andere site doorgestuurd.

 

[slabbetje]

raar, ik heb de zooi nog een keer geupload

 

[Tha Devil]

Werkt nu wel.

Ziet er aardig solide uit, ik vraag me alleen af waarom je dit doet en niet gebruik maakt van een auto_increment op het veld ID...

$id = rand(10000000,99999999);

 

[slabbetje]

is dat ook mogenlijk met mssql ??
want ik kreeg elke keer een error

Edit:
ik heb 1 bug gevonden.. zodra je q' typt krijg je alsnog een injectie bug hoe kan ik die fixen??

 

[Tha Devil]

is dat ook mogenlijk met mssql ??
want ik kreeg elke keer een error

http://www.sitepoint.com/forums/showthread.php?goto=lastpost&t=41676

Edit:
ik heb 1 bug gevonden.. zodra je q' typt krijg je alsnog een injectie bug hoe kan ik die fixen??

Ligt eraan hoe je niet wilt dat een ' wordt gebruikt...

 

[slabbetje]

gewoon nooit

 

[Tha Devil]

Ik bedoel in welke context...

Anders moet je even een preg_match maken.

 

[slabbetje]

ik wil gewoon dat het niet als inject gebruikt kan worden dat is dus helemaal nooit denk want anders sluit je tijdenlijk een query af als je em 2x gebruikt

 

[Johantrax]

wat ik standaard doe is een search-and-replace van alle enkele quotes door een escaped quote.

$waarde = str_replace("'", "\'", $waarde);

--Johan