vraagje over $_post

Status
Niet open voor verdere reacties.
octron

octron

Gebruiker
Lid geworden
4 mrt 2008
Berichten
65
ik heb een vraagje over $_POST.
op mijn website worden veel variabelen via $_post opgeslagen in mijn database.
nu was ik nieuwsgierig of ik vanaf een andere host ook post variabelen kan versturen.
dit lukte dus zonder problemen.

dit betekent dus ook dat andere mensen die misschien slechte bedoelingen hebben verkeerde dingen kunnen sturen naar mijn database via een andere host.

is het ook mogelijk om te zeggen dat alleen post variabelen vanaf een bepaalde host geaccepteerd worden ?
zat zelf te denken aan een session check maar misschien weten jullie andere manieren.

mvg, Michel
 
Alle $_POST variabelen worden verstuurd via andere machines (namelijk: die van de gebruikers)

Wat je moet doen, is controleren of je $_POST variabelen wel veilig en correct zijn, voordat je ze in de database zet.
 
Hoe kan ik dit dan het best doen ik heb al op sommige scripten een session check maar ik gebruik ook javascript posts om data uit mijn DB te halen.
hoe kan ik die controleren?

mvg, Michel
 
Dat ligt aan de data...

Controleer welke velden je hebt getoond, en of die ingezonden zijn. Check of die waardes mogen.

Bijvoorbeeld als je een Select op je website hebt, en de gebruiker stuurt die in, kijk dan of wat hij verzend in de Select opties staat voor hem (en niet bijv. een admin optie is)

Kijk bij getallen eerst of het een getal is, en of het wel binnen de bounds valt die gesteld zijn.

Bij checkboxes hetzelfde als bij Select, kijk of de ingezonden values wel op zijn Form getoond zijn.

Je kunt het Form opnieuw opbouwen; dan zie je precies welke velden wel en niet verzonden zijn. Alle andere dingen moet je dus negeren.

Je kunt het beste gewoon elk veld nagaan, controleren welke dingen toegestaan zijn, checken of wat ingezonden is daar binnen valt, en het anders niet behandelen.
 
hij controleerd of de data klopt maar als hij nu gewoon juiste informatie opgeeft en dit doet om spam te versturen.
hier een v.b.

[JS]
function lijst(Aid){
$(document).ready(function() {



var unameval = Aid;


$.post("ajax/backend.php", { Aid: unameval
}, function(data) {
$("#status p").html(data);
});
return false;


});
}
[/JS]

ik stuur nu een javascript variabele mee.
maar als nu iemand anders dit doet op een andere site :
HTML: 
        <form action="www.test.nl/ajax/backend.php" method="POST">
            <input type="text" name="Aid" value="" />
            <input type="submit" value="verzend" />
        </form>
klopt het veld en de post variabele.

heb je mischien een voorbeeldje om dit op te lossen?

mvg, Michel
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan