blob: 96e6f2ced20c73454fb2d58e92058552fa126587 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
# webs eindopdracht
dingen die niet (goed) werken met onderbouwing:
- **wachtwoorden/authenticatie**
ik sla de wachtwoorden op als bcrypt hash in de database, en stuur het
plaintext wachtwoord met elke request als cookie. dit is onveilig. een betere
oplossing zou werken met tokens maar dat kost meer moeite.
- **xss/html injectie**
gebruikersnamen worden direct uit de database gehaald en alleen voor de
gebruiker zelf op de mand-pagina weergeven. de gebruiker zou technisch gezien
een html tag in zijn naam kunnen stoppen en (voor zichzelf) de hele website
slopen. ik vind dat html injectie tegengaan de taak is van een html
templating engine. deze website gebruikt bewust PHP string
templating/concatenation als html templating 'engine' omdat het de simpelste
(onveilige) oplossing is.
|