Vraag & Antwoord

Webprogrammeren & scripting

(php) veilig of niet, ik heb geen idee

2 antwoorden
  • Ik heb een programma mijn website laten scannen en die kwam met verontrustende meldingen. Maar nu vraag ik me af, is dat ook wel zo ? Ik krijg bv dit: [quote:76754051f2] The POST variable emailadres has been set to >"><ScRiPt%20%0a%0d>alert(403408555612)%3B</ScRiPt>. View HTTP headers Request POST /contact.php HTTP/1.0 Accept: */* Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Host: antieke-klokken.net Content-Length: 206 Cookie: PHPSESSID=6896e23c998c19ba6a0a9d3ab8cdd994 Connection: Close Pragma: no-cache Acunetix-Product: WVS/5.5 (Acunetix Web Vulnerability Scanner - NORMAL) Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm naam=111-222-1933email@address.tst&emailadres=>"><ScRiPt%20%0a%0d>alert(403408555612)%3B</ScRiPt>&onderwerp=111-222-1933email@address.tst&bericht=111-222-1933email@address.tst&submit=Verzend%20het%20berichtResponse HTTP/1.1 200 OK Date: Tue, 24 Feb 2009 19:32:06 GMT Server: Apache/1.3.41 (Unix) PHP/5.2.6 mod_ssl/2.8.31 OpenSSL/0.9.7a X-Powered-By: PHP/5.2.6 Connection: close Content-Type: text/html [/quote:76754051f2] Ik zie echter geen herkenbare output, betekent dit dat de gebruikte karakterbescherming gewerkt heeft of niet ? Ook laat ik mezelf een bericht sturen als er een inlogpoging word gedaan. Nu krijg ik dit: [quote:76754051f2] inlog poging op Antieke klokken 82.169.57.107---<script>alert(40585,8441961343)</script>---111-222-1933email@address.tst[/quote:76754051f2] en weer vraag ik me af of de karakters juist ge-escaped worden of niet. Maw: moet ik subiet de website herprogrammeren, of ben ik redelijk beschermd ? Trouwens, dit krijg ik als html response: [img:76754051f2]http://www.plaatjesupload.nl/bekijk/2009/02/24/1235504848-850.jpg[/img:76754051f2]
  • Lijkt mij gewoon inderdaad een escape probleem te zijn, maar zonder de code op zich te zien is dat moeilijk natuurlijk. De output (als ik even vluchtig kijk) van dat programmatje is niet veel meer dan de headeroutput die je normaal krijgt. PHP, om op uw onderwerptitel te antwoorden, kan zowel héél veilig als héél onveilig zijn. Kwestie si dat je moet zorgen dat het veilig is natuurlijk. vergelijk het gewoon met een gewone computer, hij kan uiterst veilig (virusscanners, trojanscanners, firewall enzovoort) zijn, maar je kan jezelf ook blootstellen door dit allemaal niet te installeren. Wat betreft het escapen nog, maak gebruik van single en double quotes. Dat maakt het niet alleen overzichtelijker, maar het maakt het ook een pak makkelijk bij debuggen EN je hoeft je double quotes dan niet te zitten escapen.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.