De code is vatbaar voor Cross Side Scripting (XSS) aanvallen - Githubissues

Stijn121 / educom-webshop-basis-1691483875

0 stars 0 forks source link

De code is vatbaar voor Cross Side Scripting (XSS) aanvallen #24

Open JeroenHeemskerk opened 1 year ago

JeroenHeemskerk commented 1 year ago

In de code hieronder wordt de data direct uit de $_POST gehaald en niet gefilterd met test_input https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L85-L87 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L93-L95 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L101-L103 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L109-L111 https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L132-L134 Dit zorgt ervoor dat de code vatbaar is voor Cross Side Scripting aanvallen. Beter is het om de schoongemaakte versie in de variabelen te gebruiken. https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L10

 value="<?php 
     echo $firstname;  
 }?>"

JeroenHeemskerk commented 1 year ago

Hetzelfde geld voor het bedankje: https://github.com/Stijn121/educom-webshop-basis-1691483875/blob/666430e47e1e5215b5782e938e7b4173df6d4e49/contact.php#L142-L158 Gebruik ook hier de variabelen.