diff options
author | lonkaars <loek@pipeframe.xyz> | 2023-06-01 16:30:41 +0200 |
---|---|---|
committer | lonkaars <loek@pipeframe.xyz> | 2023-06-01 16:30:41 +0200 |
commit | 6715936a3b33c14b2d8c581677855bb6c1297940 (patch) | |
tree | 49ef59d2c62f5a7cb6a640c9ac3196c4b22ecd6a /readme.md | |
parent | 879c72e50c172f6e20416dcf06fccdbb59525c7a (diff) |
implement promotion buff coefficient to promotion string converter
Diffstat (limited to 'readme.md')
-rw-r--r-- | readme.md | 16 |
1 files changed, 16 insertions, 0 deletions
diff --git a/readme.md b/readme.md new file mode 100644 index 0000000..96e6f2c --- /dev/null +++ b/readme.md @@ -0,0 +1,16 @@ +# webs eindopdracht + +dingen die niet (goed) werken met onderbouwing: + +- **wachtwoorden/authenticatie** + ik sla de wachtwoorden op als bcrypt hash in de database, en stuur het + plaintext wachtwoord met elke request als cookie. dit is onveilig. een betere + oplossing zou werken met tokens maar dat kost meer moeite. +- **xss/html injectie** + gebruikersnamen worden direct uit de database gehaald en alleen voor de + gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien + een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website + slopen. ik vind dat html injectie tegengaan de taak is van een html + templating engine. deze website gebruikt bewust PHP string + templating/concatenation als html templating 'engine' omdat het de simpelste + (onveilige) oplossing is. |