Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Webprogrammeren & scripting

[PHP] Link beveiliging

Anoniem
None
11 antwoorden
  • Dergelijke gegevens zijn altijd door de gebruiker aan te passen, en zijn daarom ook nooit te vertrouwen. Input moet altijd gecontroleerd worden. Het aloude mantra van de programmeur: never trust user input.
  • Dus methoden als het encrypten van die URL variabelen (zoals bij Hotmail gebeurd) of het onzichtbaar maken van die variabelen (geen voorbeeld voorhanden) hebben dus eigenlijk geen toegevoegde waarde?
    Is het in het proffesionele websitebouw 'toegestaan' om de hierboven methode (zichtbare variabelen in de URL) te gebruiken? Of worden daar andere manieren gebruikt?
  • Als het echt belangrijk is dat die gegevens onzichtbaar blijven, kun je SSL toepassen. Hotmail doet dit bijvoorbeeld bij het inloggen. Dan zie je een omweg via een https server, voordat je weer op hotmail.com terechtkomt.
  • In prinicipe kun je de URL beter beveiligen door enkel POST variabelen te gebruiken. Deze worden niet in de URL meegestuurd zoals bij GET.

    Wanneer je in het script checked of het vanaf een POST komt dan kan een gebruiker tenminste geen wijzigingen meer doen door simpel de URL te veranderen. Maar je moet inderdaad altijd oppassen met userinput. Deze is per definitie niet veilig.
  • POST variabelen zijn ook vrij eenvoudig te bewerken…
  • Hoe zet je in een a-tag Post variabelen?
  • [quote:4153c2d2a5="Bremmeteng"]Hoe zet je in een a-tag Post variabelen?[/quote:4153c2d2a5]
    Dat moet je met een formulier doen, dat kan niet zomaar in een <a>
  • Dus met je gewone hyperlink (a tag) zit je altijd vast aan je get-variabelen en dus ook aan de lange url's?
  • [quote:2921455353="Bremmeteng"]Dus met je gewone hyperlink (a tag) zit je altijd vast aan je get-variabelen en dus ook aan de lange url's?[/quote:2921455353]Of je kan de techniek URL-rewrite in apache toepassen.
  • Ha, nu ben ik op hetzelfde punt terecht gekomen als op een ander draadje van mij:
    http://forum.computertotaal.nl/phpBB2/viewtopic.php?p=940787#940787
  • LS,

    Ik heb een vraag over de het versturen van parameters (Post / Get methode, resp: Forms/Links).
    Hoe zorg je ervoor dat met deze gegevens (die tijdens het versturen redelijk bloot liggen) niet geknoeid kan worden door de bezoeker van de website?

    Een beveiliging is natuurlijk het controleren van de ontvangen variabelen.
    Maar volstaat dit? Ik mijn website gebruik ik de url variablelen (als in www.website.nl/index.php?area=area1&section=section1) als navigeer systeem en de manier om acties aan te vragen (als in www.website.nl/index.php?area=area1&section=section1&action=deluser&userid=x)
    Maar ik vind dat deze manier de gegevens zo bloot legt en het te gemakkelijk voor de gebruikers is om direct in de url dingen te gaan wijzigen.

    Zijn er andere methodes? Of zijn er manieren om de URL minder 'editable' te maken? Of is dit gewoon de manier hoe het gebeurd, en moet ik me verder niet druk maken?

    En hoe zit dat met Forms, de variabelen die hierdoor verstuurd worden, zijn welliswaar niet te zien in de URL, maar betekend dat ze 'veilig' verstuurd worden? Of zijn deze eenvoudig op te vangen en te veranderen?


    Alvast bedankt!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.