:strip_exif()/u/155875/Duct_Tape_by_CarolinaGirl9578.gif?f=community)
Beste Tweakers,
Ik kom er niet uit door zelf te redenereren, maar de ervaren PHP devvers zullen hier vast binnen enkele seconden een antwoord op hebben. Ik presenteer meerdere "objecten" die onder elkaar staan op een pagina. De gebruiker kan zich op een object inschrijven door op "Inschrijven" naast het betreffend object te klikken. Vervolgens wordt er een UPDATE query uitgevoerd waarbij aan de hand van het object ID vanuit de HTML hidden tags die wordt teruggestuurd naar de server een update op het STATUS veld gedaan. Ik zag dat je met bepaalde browser addons deze hidden html input tags kan veranderen naar wat men wil. Resultaat is dan dat men allerlei andere objecten kan aanpassen in de database terwijl deze hier helemaal niet op staan ingesteld. Hoe kan ik dit voorkomen? Dat de user hier niet tussen kan komen?
Ik zat te denken aan een soort match met een intern gegenereerde MD5 hash per object, maar dat lost maar een deel van het probleem op want als de MD5 hash en de ID in de hidden html tags staan, dan kan men als nog dit specifieke object altijd aanpassen. Ik hoop dat het zo enigzins duidelijk is. Nog een afbeelding ter verduidelijking:
http://www.freeimagehosting.net/15fba
Iemand een idee?
Ik kom er niet uit door zelf te redenereren, maar de ervaren PHP devvers zullen hier vast binnen enkele seconden een antwoord op hebben. Ik presenteer meerdere "objecten" die onder elkaar staan op een pagina. De gebruiker kan zich op een object inschrijven door op "Inschrijven" naast het betreffend object te klikken. Vervolgens wordt er een UPDATE query uitgevoerd waarbij aan de hand van het object ID vanuit de HTML hidden tags die wordt teruggestuurd naar de server een update op het STATUS veld gedaan. Ik zag dat je met bepaalde browser addons deze hidden html input tags kan veranderen naar wat men wil. Resultaat is dan dat men allerlei andere objecten kan aanpassen in de database terwijl deze hier helemaal niet op staan ingesteld. Hoe kan ik dit voorkomen? Dat de user hier niet tussen kan komen?
Ik zat te denken aan een soort match met een intern gegenereerde MD5 hash per object, maar dat lost maar een deel van het probleem op want als de MD5 hash en de ID in de hidden html tags staan, dan kan men als nog dit specifieke object altijd aanpassen. Ik hoop dat het zo enigzins duidelijk is. Nog een afbeelding ter verduidelijking:
http://www.freeimagehosting.net/15fba
Iemand een idee?
:strip_exif()/u/101588/the_lemmings_masacre_2_by_wormthingy.gif?f=community)
:strip_exif()/u/32979/ksw.gif?f=community)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
