[PHP] Het beveiligen van reactiesystemen

[Martin]

Ik heb dus op mijn website een reactiesysteem voor foto`s staan, nu wil ik graag weten welke maatregelen ik allemaal kan en/of moet nemen om te voorkomen dat ze er ongewenste dingen mee kunnen doen.

Mijn vraag dus: hoe maak je een script, waar leden reacties kunnen plaatsen, zo veilig dat ze niets kunnen verpesten?

[-=Odysseus=-]

met sessions... en alles beveiligen met addslashes() en htmlspecialchars() enzo

[Martin]

Citaat:

-=Odysseus=- schreef:
met sessions...

Ik praat nu alleen over de input die mensen in een reactiesysteem kunnen stoppen, ik heb het niet over het ledensysteem zelf.

[-=Odysseus=-]

Citaat:

Martin schreef:
Ik praat nu alleen over de input die mensen in een reactiesysteem kunnen stoppen, ik heb het niet over het ledensysteem zelf.

zorgen dat je de inputs beveiligd met
addslashes() -> zorgen dat ze je queries niet vern3uken
htmlspecialchars() -> zorgen dat ze geen html kunnen gebruiken

[Martin]

Citaat:

-=Odysseus=- schreef:
addslashes()

PHP-code:

$bericht  = addslashes(stripslashes($bericht)); 


zou dan moeten voldoen bij de input

Citaat:

-=Odysseus=- schreef:
htmlspecialchars

PHP-code:

$bericht  = htmlspecialchars(nl2br($row[bericht])); 


zou dan moeten voldoen bij de output

[-=Odysseus=-]

Citaat:

Martin schreef:

PHP-code:

$bericht  = htmlspecialchars(nl2br($row[bericht])); 


zou dan moeten voldoen bij de output

Nee dan gaat hij de \n om zetten in <br \> en dan gooi je die weer door de htmlspecialchars()

dus ik zou ze andersom zetten

[Martin]

Citaat:

-=Odysseus=- schreef:
Nee dan gaat hij de \n om zetten in <br \> en dan gooi je die weer door de htmlspecialchars()

dus ik zou ze andersom zetten

dat bedoel ik ja

[Manuzhai]

Als je een database gebruikt (MySQL ), zou ik in plaats van addslashes() gewoon mysql_escape_string() gebruiken.