blob: 5c5c5bde635384da47ddf8f3621850b222ea927c (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
# webs eindopdracht
dingen die niet (goed) werken met onderbouwing:
- **wachtwoorden/authenticatie**
ik sla de wachtwoorden op als bcrypt hash in de database, en stuur het
plaintext wachtwoord met elke request als cookie. dit is onveilig. een betere
oplossing zou werken met tokens maar dat kost meer moeite.
- **xss/html injectie**
gebruikersnamen worden direct uit de database gehaald en alleen voor de
gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien
een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website
slopen. alleen admins kunnen de productbeschrijvingen aanpassen, maar daar
kan ook in theorie xss in gestopt worden.
ik vind dat html injectie tegengaan de taak is van een html templating
engine. deze website gebruikt bewust PHP string templating/concatenation als
html templating 'engine' omdat het de simpelste (onveilige) oplossing is.
- **subtotaal uitrekenen**
dit gaat ergens fout in de database, en is denk ik niet mijn schuld?
|