Tahribat.com Forumları
Asp - Php - Cgi - Perl
Php İle Dışarıdan Gelen Postu Engellemek

Yazar arkinfes (2) Arlong (1) biri (1) fiki (2) Hannibal_King (1) lepusmorris (2) NmC (1) ontedi (1) SinusX (1) SPY-CX5 (1) trooper (1) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

Php İle Dışarıdan Gelen Postu Engellemek

1. 26/Mar/17 15:57 Kısayol Şikayet Özel Mesaj
   camarade
   ontedi
   
   

   Kayıt Tarihi: 04/Eylül/2005
   

   Hocam post ettiğin yer admin tarafı mı. Yoksa halka açık bir yer mi?

   Admin tarafı ise zaten en başta kullanıcı oturumu kontrol ettiğin için daha post edilmeden sessiona takılır o yüzden kafan rahat olsun.

   Halka açık bir yerde ise referer veya captcha en sağlıklı çözümdür.

   ---

   Matematikçi ve Yazılımcı. http://www.ontedi.com ve http://www.cizgi.site Siteme beklerim herkesi.
   Alıntı yap
2. 26/Mar/17 18:03 Kısayol Şikayet Özel Mesaj
   Arlong
   
   

   Kayıt Tarihi: 14/Şubat/2005
   

   Htaccessden istisna tanımlamadıysan apache başka domainden veri girişini engeller zaten.

   Alıntı yap
3. 26/Mar/17 19:39 Kısayol Şikayet Özel Mesaj
   lepusmorris
   
   

   Kayıt Tarihi: 31/Mart/2007
   

   echo htmlbak('<textarea rows="500" cols="500" onmouseover="alert(\'fonksiyonun yeterli değil\');">mausu üzerine getir</textarea> ');

   @arkinfes; bu kodu çalıştırırsan sana cevap verecektir hocam. ayrıca buna gözatabilirsin: http://php.net/manual/en/function.htmlspecialchars.php

   ---

   ..
   Alıntı yap
4. 26/Mar/17 21:35 Kısayol Şikayet Özel Mesaj
   fiki
   
   

   Kayıt Tarihi: 17/Ocak/2017
   

   arkinfes bunu yazdı

   fiki bunu yazdı

   yahu adam ne sormuş siz ne cavaplar vermişsiniz. csrf tokenlar ıvırlar zıvırlar havalarda uçuşmuş. şimdi hocam ben sana şöyle açıklayayım. TinyMCE'den veri alıp database'e kaydediyorsan ve sonra bunu biryerlerde ekrana basıyorsan 2 zafiyetin oluşma ihtimali var.

   1. SQL Injection
   2. XSS

   Gel gelelim bunlardan korunmaya.

   SQL Injection;

   1. PDO kullan.
   2. Yok ben PDO kullanmam mysql_* fonksiyonları kullanıyorum dersen;  gelen veriyi "mysql_real_escape_string" fonsksiyonuna al ve o hali ile database'e kaydet. Sonra o veriyi bir yerde ekrana basacaksan db'den çektiğin halini "stripslashes" fonksiyonundan geçirip ekrana bas ki eğer mysql_real_escape_string tırnak gibi karakterlerin önüne ters slash koymuşsa onları düzeltsin diye.

   XSS;

   XSS için TinyMCE zaten birşey öneriyor. o önerdiği şeyler şu sayfada mevcut: http://archive.tinymce.com/wiki.php/TinyMCE3x:Security

   Listedekilerden "zend filter input" geçerliliğini yitirdiğinden tavsiyem "htmlawed" kullanman. Ama istersen "HTMLPurifire" da kullanabilrisin. Karar senin.

   @fiki 

   Hocam ilk öncelikle allah razı olsun :) zaten PDO kullanıyorum eskiden Mysql_* kullanırdım bu sefer ki projemde PDO ya geçtim ve biraz zorlandım en önemlisi Bind etmeyi falan hiç anlamadım direkt normal ekliyorum sisteme tabi önce yazdığım fonksiyonda geçiriyoum üstüne mysql_real_escape_string den geçiriyorum. Google captcha kullanmayı planlıyrorum o çözüm olur gibime geliyor. Sizden tek istediğim hangi kodları süzmem gerekiyor ? sedece script yeterli mi ? 

   Bu fonksiyon yeterli mi ?:

   function htmlbak($text) { 

   $text=str_ireplace("<script","",$text);

    

   $text=str_ireplace(" // <!CDATA ","",$text;

   $text=str_ireplace("","",$text);

   $text=str_ireplace(",","",$text);

   $text=str_ireplace(" // ]]> ,","",$text);

   $text=str_ireplace("<style,","",$text);

   $text=str_ireplace(",","",$text);

   $text=str_ireplace(",","",$text);

   return $text;   

   } 

   Hayır hocam bu kod yeterli değil. Zira @lepusmorris hocamın örneğini verdiği gibi birçok xss e sebebiyet verecek yöntem mevcut. <img src=x onerror=alert(2)> vs gibi. Xss için çözümü ilk yorumumda söylemiştim tekrarlayayım "Listedekilerden "zend filter input" geçerliliğini yitirdiğinden tavsiyem "htmlawed" kullanman. Ama istersen "HTMLPurifire" da kullanabilrisin. Karar senin.".

   Alıntı yap

Cevapla