diff options
-rw-r--r-- | makefile | 4 | ||||
-rw-r--r-- | readme.md | 13 |
2 files changed, 9 insertions, 8 deletions
diff --git a/makefile b/makefile deleted file mode 100644 index 3b1abff..0000000 --- a/makefile +++ /dev/null @@ -1,4 +0,0 @@ -all: $(patsubst %-full.jpg,%-thumb.jpg, $(wildcard public/img/product/*-full.jpg)) - -public/img/product/%-thumb.jpg: public/img/product/%-full.jpg - convert -scale 250 $< $@ @@ -10,7 +10,12 @@ dingen die niet (goed) werken met onderbouwing: gebruikersnamen worden direct uit de database gehaald en alleen voor de gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website - slopen. ik vind dat html injectie tegengaan de taak is van een html - templating engine. deze website gebruikt bewust PHP string - templating/concatenation als html templating 'engine' omdat het de simpelste - (onveilige) oplossing is. + slopen. alleen admins kunnen de productbeschrijvingen aanpassen, maar daar + kan ook in theorie xss in gestopt worden. + + ik vind dat html injectie tegengaan de taak is van een html templating + engine. deze website gebruikt bewust PHP string templating/concatenation als + html templating 'engine' omdat het de simpelste (onveilige) oplossing is. +- **subtotaal uitrekenen** + dit gaat ergens fout in de database, en is denk ik niet mijn schuld? + |