Forum » Server-Side scripting » profiel systeem wijzig beveiligen
R.Jipping
R. Jipping
Berichten: 1598
avatar
Offline Stuur privebericht
Beste leden,

Ik ben momenteel bezig met een profiel systeem maar, nu loop ik bij wijzigen toch tegen een schoonheids foutje. Je kunt ook de dingen van anderen wijzigen als je ?naam=lala intypt in plaats van je eigen. Ik hoop dat een van jullie weet hoe ik dit het simpelste oplos.

Dit is me login script denk dat je die erbij nodig zal zijn:
Code | Selecteer Alles
minimaliseren
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
require("config.php"); 
session_start();

$login mysql_real_escape_string($_POST['login']);
$wachtwoord sha1(mysql_real_escape_string($_POST['wachtwoord']));

if(isset($login) && isset($wachtwoord))
{
    
    $rows mysql_query("SELECT * FROM gebruiker WHERE gebruiker_naam = '".$login."' AND gebruiker_wachtwoord = '".$wachtwoord."' LIMIT 1");
    $numrows mysql_num_rows($rows);

    if($numrows == '1')
    {
        $row mysql_fetch_array($rows);
        
            $login = ($row['login']);
            $wachtwoord = ($row['wachtwoord']);
        
            echo(" U bent succesvol ingelogd ");
        
        $_SESSION['login']=$login;
    }
    else
        echo("Gebruikersnaam of wachtwoord is verkeerd!");
}

?>

04-06-2010 15:33
Dit topic is 157 keer bekeken door 36 verschillende leden
Reacties op: "profiel systeem wijzig beveiligen"
1
Killingdevil
Berichten: 2123
avatar
Offline Stuur privébericht
Dit lijkt me meer op een login functie? Beetje vreemd.

Trouwens, mysql_num_rows geeft een integer terug, en geen string. En wachtwoorden zou ik niet modificeren voordat je ze door een hash functie haalt (behalve salts).
04-06-2010 15:50
pekelterror
Berichten: 470
avatar
Offline Stuur privébericht
Probeer het eens met zoiets.

Code | Selecteer Alles
minimaliseren
1
2
3
4
if($_GET['naam'] != $_SESSION['login']){
echo "Enkel uw eigen gegevens aanpassen Aub";
exit();
}
04-06-2010 15:53
Killingdevil
Berichten: 2123
avatar
Offline Stuur privébericht
Waarom zou je dat willen doen @pekelterror? Want dan is de hele GET variabele naam nergens meer voor nodig. Die kunt je er dan gewoon uit laten, en werken met $_SESSION['login'].
04-06-2010 15:55
R.Jipping
R. Jipping
Berichten: 1598
avatar
Offline Stuur privébericht
Killingdevil, dit is de login dat staat er ook boven. Maar, ik denk dat daar iets bij in moet of iets uitgeropen moet worden=

Nieuwe reactie samengevoegd met originele reactie op 04.06.10 17:26:39:
Al opgelost door de manier hierboven met wat aanpassingen die killingdevil zei.
04-06-2010 17:20
Reageer op: "profiel systeem wijzig beveiligen"
1
Je kan niet reageren omdat je niet bent ingelogd. Inloggen of Aanmelden