![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
![[view]](images/icons/view.gif "Bekijk bericht"){kind=icon}
![[quote]](images/icons/oldquote.gif "Quote bericht - Bericht is meer dan 4 weken oud!"){kind=icon}
Door: 
Waarschijnlijk een site alleen bezocht door digibeten 
lo mejor está por venir
[alg] Slechtste programmeervoorbeelden deel 4
Pagina: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 last
Reageer Nieuw Topic
Zo had mijn school eerder een pakket om toetsen af te nemen, voor elke toets stond een wachtwoord, in de bron ;')quote::
Waarschijnlijk een site alleen bezocht door digibeten
Kon je dus ver van te voren al de toets inzien
Een groener internet? Daar kun ook jij mee helpen!
logisch natuurlijk als je zo openbarend bent met je passwordsquote::
He, niet denigrerend doen he, het is wel waarschijnlijk versleuteld door een lettertype wat geen duidelijk onderscheid maakt tussen een 0 en een O...
Ook leuk als iemand direct naar show_news.php gaat linken. 
Talkin.nl daily photoblog
Day 1074: Take a Bath
Foto specs: Canon 300D, Tamron 17-50 f/2.8, 5s, f/7.1, ISO 100
A closed mind is like a closed book; just a block of wood
Berichten: 38
Reg. datum: 21 december 2003
Reg. datum: 21 december 2003
Zullen die mensen nou echt niet snappen dat iedereen dat wachtwoord kan zien.quote:
De echte WTF is natuurlijk hoe de maker van die site een 10 voor Nederlands heeft kunnen krijgen.quote::
Ook leuk als iemand direct naar show_news.php gaat linken.
Berichten: 4.024
Reg. datum: 30 maart 2002
Reg. datum: 30 maart 2002
Tja... ik denk dat meisjes van 12 niet echt bezig zijn met of de beveiliging op de site goed werktquote::
[...]
Zullen die mensen nou echt niet snappen dat iedereen dat wachtwoord kan zien.
"Want an Orange?"
- Nakor, Prince of the Blood
Sikklebell--Lvl 63 Mage--Trollbane
Richt-click disablen, jeweettoch!quote::
[...]
Zullen die mensen nou echt niet snappen dat iedereen dat wachtwoord kan zien.
Reacties die "fanboy" bevatten neem ik bij voorbaat al niet serieus.
[T.net karma monitor] - [Tomb Raider: Underworld] - [Deus Ex 3]
Je had die location="..." ook even weg kunnen editten, want daar gaat het natuurlijk niet om. Nu krijg je allemaal weer vreemde figuren die zo nodig moeten gaan reageren daarquote::
Misschien niet echt een Slecht programmeervoorbeeld, mar veilig zal het ook wel niet zijn als je een dergelijk beveiligingssysteem hebt, dat gewoon in de Broncode van je website staat:
(Rechtstreekse Copy/Paste)
JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18<script language="javascript">
<!--//
/*Dit script verplicht de bezoekers een password en ID...*/
function pasuser(form) {
<!--//verander hier onder je eigen ID
if (form.id.value=="BLOG01") {
<!--//verander hier onder je eigen logincode
if (form.pass.value=="OYEAH") {
<!--//verander hier onder de pagina die beveiligd moet worden
location=""
} else {
alert("Invalid Password")
}
} else { alert("Invalid UserID")
}
}
//-->
</script>
.Verder is zoiets natuurlijk te verwachten van iemand die voor het eerst een website maakt, die plukt de makkelijkste scriptjes van het internet...en als simpelste vorm van beveiliging werkt het, zolang de gebruiker geen kennis heeft van HTML
.Liberate tutame ex inferis.
"De programma’s die we gebruiken zijn eigenlijk zo ontworpen dat ze allemaal onze aandacht opeisen als een stel dreinende peuters."
Berichten: 38
Reg. datum: 21 december 2003
Reg. datum: 21 december 2003
Ik lach elke keer weer als iedereen zit te klagen dat right-click niet werkt. Opera negeert die code namelijk nog steedsquote:
Ik vraag me af wat ik dommer vind. De overduidelijke SQL-injection-waiting-to-happen, of het toevoegen van een feitelijke TRUE statement als WHERE clause. Waarbij helaas de performance slechter wordt omdat voor elk record wel de status moet worden vergeleken met 'eenletterdienietvoorkomt'.quote:
Ik zal maar niks zeggen over $zoeken. Nederlands in code, brrrr...
(maar goed, dat is persoonlijke voorkeur
)More than meets the eye
There is no I in TEAM... but there is ME
Stanzinist | system specs
Of je drukt gewoon op de context-menu toets die naast de rechter CTRL zitquote::
[...]
Ik lach elke keer weer als iedereen zit te klagen dat right-click niet werkt. Opera negeert die code namelijk nog steeds
Reacties die "fanboy" bevatten neem ik bij voorbaat al niet serieus.
[T.net karma monitor] - [Tomb Raider: Underworld] - [Deus Ex 3]
quote::
[...]
Ik lach elke keer weer als iedereen zit te klagen dat right-click niet werkt. Opera negeert die code namelijk nog steeds
offtopic:
Ctrl-F12, Geavanceerd, Inhoud, Javascript opties..., Ontvangen van rechter-muisklikken toestaan Staat gelukkig standaard uit!
Ctrl-F12, Geavanceerd, Inhoud, Javascript opties..., Ontvangen van rechter-muisklikken toestaan
Staat gelukkig standaard uit!Mijn online maffiaspel: BadFellas
Berichten: 38
Reg. datum: 21 december 2003
Reg. datum: 21 december 2003
Ja, het is een stuk code van een collega van me. Die zelf ook niet (meer?) wist waarom dit er in zat.quote::
[...]
Ik lach elke keer weer als iedereen zit te klagen dat right-click niet werkt. Opera negeert die code namelijk nog steeds
[...]
Ik vraag me af wat ik dommer vind. De overduidelijke SQL-injection-waiting-to-happen, of het toevoegen van een feitelijke TRUE statement als WHERE clause. Waarbij helaas de performance slechter wordt omdat voor elk record wel de status moet worden vergeleken met 'eenletterdienietvoorkomt'.
Ik zal maar niks zeggen over $zoeken. Nederlands in code, brrrr...
(maar goed, dat is persoonlijke voorkeur
ik gebruik zelf overigens ook altijd engelse variabelen en functienamen. En gebruik voor Database-query's het liefst PDO of ZEND_DB die het escapen voor je doen. (en anders mysql_real_escape_string())
Tiemez wijzigde dit bericht 02-10-2008 13:09 (6%)
Vorige week een dikke bug die een collega (inmiddels vertrokken) had gemaakt en ik kon gaan zoeken. Het ging om een simpele webshop waar je een paar producten in een shoppingcart kunt plaatsen en afrekenen.
Bij het opslaan maakt ie een ordernummer aan en zet die in de database en daar koppelt ie de klantgegevens aan. Wat deed ie nu... hij pakte <jaar><maand><nr> waarbij <nr> ooit begon met 1 en bij het aanmaken van het ordernummer checkte die de laatste order en pakte de laatste 3 getallen van dat ordernummer, hoogde dat op met 1, en dat plakte die dus achter <jaar><maand>.
Toevallig was dit de eerste maand waarbij het aantal bestellingen over de 1000 ging, dus zorge dat voor problemen, want de laatste 3 getallen van 2008091000 wordt...000 en + 1 = 1. Dus begon ie opnieuw met tellen en liep de boel de zeik in
Gelukkig heb ik snel een workaround ingebakken (substr op de getallen na jaar/datum) en dat + 1; maar wat een methode
Bij het opslaan maakt ie een ordernummer aan en zet die in de database en daar koppelt ie de klantgegevens aan. Wat deed ie nu... hij pakte <jaar><maand><nr> waarbij <nr> ooit begon met 1 en bij het aanmaken van het ordernummer checkte die de laatste order en pakte de laatste 3 getallen van dat ordernummer, hoogde dat op met 1, en dat plakte die dus achter <jaar><maand>.
Toevallig was dit de eerste maand waarbij het aantal bestellingen over de 1000 ging, dus zorge dat voor problemen, want de laatste 3 getallen van 2008091000 wordt...000 en + 1 = 1. Dus begon ie opnieuw met tellen en liep de boel de zeik in
Gelukkig heb ik snel een workaround ingebakken (substr op de getallen na jaar/datum) en dat + 1; maar wat een methode
Morgen in de ochtend vrij zonnig, in de middag zonnig, de minimumtemperatuur ligt rond de -13 °C. De maximumtemperatuur tussen de -3 en 2 °C. De wind is zwak uit ZO. In de middag zwak tot matig, kracht 2-3. Langs de stranden zonnig.
Assumption is the mother of all fuck ups
Berichten: 177
Reg. datum: 07 juli 2005
Reg. datum: 07 juli 2005
Berichten: 44
Reg. datum: 29 juli 2004
Reg. datum: 29 juli 2004
Nu ben ik toch nieuwsgierig, de $_SESSION variabele bevat toch gegevens die door je applicatie gevuld is en niet de gebruiker? Hoe kan dit dan SQL injection veroorzaken? (mits je applicatie de $_SESSION var zelf goed vult natuurlijk).quote::
[...]
Ik lach elke keer weer als iedereen zit te klagen dat right-click niet werkt. Opera negeert die code namelijk nog steeds
[...]
Ik vraag me af wat ik dommer vind. De overduidelijke SQL-injection-waiting-to-happen, of het toevoegen van een feitelijke TRUE statement als WHERE clause. Waarbij helaas de performance slechter wordt omdat voor elk record wel de status moet worden vergeleken met 'eenletterdienietvoorkomt'.
Ik zal maar niks zeggen over $zoeken. Nederlands in code, brrrr...
(maar goed, dat is persoonlijke voorkeur
More than meets the eye
There is no I in TEAM... but there is ME
Stanzinist | system specs
Berichten: 44
Reg. datum: 29 juli 2004
Reg. datum: 29 juli 2004
Berichten: 3.864
Reg. datum: 20 maart 2001
Reg. datum: 20 maart 2001
Berichten: 44
Reg. datum: 29 juli 2004
Reg. datum: 29 juli 2004
quote::
Vorige week een dikke bug die een collega (inmiddels vertrokken) had gemaakt en ik kon gaan zoeken. Het ging om een simpele webshop waar je een paar producten in een shoppingcart kunt plaatsen en afrekenen.
Bij het opslaan maakt ie een ordernummer aan en zet die in de database en daar koppelt ie de klantgegevens aan. Wat deed ie nu... hij pakte <jaar><maand><nr> waarbij <nr> ooit begon met 1 en bij het aanmaken van het ordernummer checkte die de laatste order en pakte de laatste 3 getallen van dat ordernummer, hoogde dat op met 1, en dat plakte die dus achter <jaar><maand>.
Toevallig was dit de eerste maand waarbij het aantal bestellingen over de 1000 ging, dus zorge dat voor problemen, want de laatste 3 getallen van 2008091000 wordt...000 en + 1 = 1. Dus begon ie opnieuw met tellen en liep de boel de zeik in
Gelukkig heb ik snel een workaround ingebakken (substr op de getallen na jaar/datum) en dat + 1; maar wat een methode
het klinkt als een stukje software die een heel aantal jaar terug heb geschreven. Alleen heb ik dit principe toen toegepast voor een administratie systeem. Echt precies hetzelfde. Alleen had ik toen opzettelijk het risico genomen. Als hij meer orders wou moest hij zelf maar een betere nummering kiezen. Website
lordpalf of the flapdrols
Pagina: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 last
