Thread: code injectie tegen gaan
-
26-01-2009, 13:40 #1Member
- Registered
- 10/11/08
- Location
- Leuven
- Posts
- 115
- iTrader
- 0
- Mentioned
- 0 Post(s)
code injectie tegen gaan
Hoe ga ik het best code injectie tegen??
kijken of er in forums geen script tags staan?
en bolt tags zijn wel allowed zolang ze maar worden afgesloten!!
hoe moet code injectie bewerkt worden?no votes
-
-
26-01-2009, 14:35 #2
hangt ervanaf wat je wil tegenhouden, sql injection, cross site scripting(xss),..
Begin al met elke user input te saneren. dus overal waar de gebruiker iets kan invoeren controleer je of er geen tekens instaan die er niet mogen staan (' <? <script> ...). Hier bestaan in zowat elke servertaal wel enkele functies voor die dit voor je doen.
Nog een tip: belangrijke (trans)acties nooit met GET uitvoeren. altijd met POST. zo vermijd je exploitbare urls als donate.php?to=12345&amount=500no votes
-
26-01-2009, 18:16 #3Member
- Registered
- 25/07/02
- Location
- Brussel
- Posts
- 1,001
- iTrader
- 5 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 2/2
POST kan je evengoed faken hoor.
no votes
-
26-01-2009, 19:54 #4
I know, maar met POST kan je geen cross site requests forgen.
Als we uitgaan van vorige url dan zet ik in men sig op dit forum een link met als titel "Mijn website" en als url "www.example.com/donate.php?to=Yngwie&amount=2000" dan zal iedereen die op mijn sig klikt en toevallig recent een sessie open heeft staan op example.com 2000 credits/points/gold aan mijn account donaten.
Dit wordt al onmogelijk als je deze acties via POST volbrengt.no votes
