webs eindopdracht
dingen die niet (goed) werken met onderbouwing:
wachtwoorden/authenticatie
ik sla de wachtwoorden op als bcrypt hash in de database, en stuur het plaintext wachtwoord met elke request als cookie. dit is onveilig. een betere oplossing zou werken met tokens maar dat kost meer moeite.xss/html injectie
gebruikersnamen worden direct uit de database gehaald en alleen voor de gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website slopen. alleen admins kunnen de productbeschrijvingen aanpassen, maar daar kan ook in theorie xss in gestopt worden.ik vind dat html injectie tegengaan de taak is van een html templating engine. deze website gebruikt bewust PHP string templating/concatenation als html templating 'engine' omdat het de simpelste (onveilige) oplossing is.
subtotaal uitrekenen
dit gaat ergens fout in de database, en is denk ik niet mijn schuld?