Open JeroenHeemskerk opened 1 year ago
In de code hieronder wordt de data direct uit de $_POST gehaald en niet gefilterd met test_input https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L85-L87 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L93-L95 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L101-L103 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L109-L111 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L132-L134 Dit zorgt ervoor dat de code vatbaar is voor Cross Side Scripting aanvallen. Beter is het om de schoongemaakte versie in de variabelen te gebruiken. https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L10
$_POST
test_input
value="<?php echo $firstname; }?>"
Hetzelfde geld voor het bedankje: https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L142-L158 Gebruik ook hier de variabelen.
In de code hieronder wordt de data direct uit de
$_POST
gehaald en niet gefilterd mettest_input
https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L85-L87 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L93-L95 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L101-L103 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L109-L111 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L132-L134 Dit zorgt ervoor dat de code vatbaar is voor Cross Side Scripting aanvallen. Beter is het om de schoongemaakte versie in de variabelen te gebruiken. https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L10