diff options
Diffstat (limited to 'readme.md')
| -rw-r--r-- | readme.md | 13 |
1 files changed, 9 insertions, 4 deletions
@@ -10,7 +10,12 @@ dingen die niet (goed) werken met onderbouwing: gebruikersnamen worden direct uit de database gehaald en alleen voor de gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website - slopen. ik vind dat html injectie tegengaan de taak is van een html - templating engine. deze website gebruikt bewust PHP string - templating/concatenation als html templating 'engine' omdat het de simpelste - (onveilige) oplossing is. + slopen. alleen admins kunnen de productbeschrijvingen aanpassen, maar daar + kan ook in theorie xss in gestopt worden. + + ik vind dat html injectie tegengaan de taak is van een html templating + engine. deze website gebruikt bewust PHP string templating/concatenation als + html templating 'engine' omdat het de simpelste (onveilige) oplossing is. +- **subtotaal uitrekenen** + dit gaat ergens fout in de database, en is denk ik niet mijn schuld? + |