SQL İnjection - PHP - Korunma Yolları

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ndmylmz
    ndmylmz's avatar
    Kayıt Tarihi: 01/Ocak/2010
    Erkek

    İronhazee adlı arkadaşımızın SQL Injection - Azmin Sonu Başarı, Peki Daha Neler Yapabilirim?  adlı konusunda yazmıştım ama konuyla alakalı olmadığını düşünerek tekrar buraya yazıyrum..

    =================================================================================

    hocam bende kendi çapımda siteler tasarlıyorum ama sql injectiondan anlamam.Havij adlı programı indirip kendim kullandım basit bişey kendi sitem üzerinde denedim ve tüm veritabanını görebildim. Bundan nasıl korunurum. Normal text alanlarından yapılan sql injectionlar hakkında bilgim var biraz da bunun nasıl yapıldığını ve nasıl korunacağımı bilmiyorum.

    Herkes elindeki bilgileri paylaşırsa ben ve diğer öğrenmek isteyenlere bi faydası olur sanırım :) Şimdiden sağolun


    Sistemi de kapattım ama PHP konusunda hala yardımcı olurum // Boş gezenin boş kalfası - Öğrenci - YTÜ
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Espo
    Espo's avatar
    Kayıt Tarihi: 17/Eylül/2010
    Erkek

    permalink olayı var hocam. nasıl olduğunu bende bilmiyorum. anlatan olursa dinlerim :) query string i saklıyor.


    Yeni bir iş, yeni bir aş, yeni bir hayat. Sil baştan başlamak gerek bazen modunda. Artık buralarda yokum :) Hepinizi seviyorum, muck.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Cosmic
    Cosmic's avatar
    Kayıt Tarihi: 14/Haziran/2006
    Erkek

    Gharzvog bunu yazdı:
    -----------------------------
     

    permalink olayı var hocam. nasıl olduğunu bende bilmiyorum. anlatan olursa dinlerim :) query string i saklıyor.


    -----------------------------

     

    htaccess ile yapılıyor RewriteRule diye arat hocam.örnek vermek gerekirse şu şekilde:

    RewriteRule ^page/(.*) index.php?page=$1 [L]

    mesela sitemiz www.asd.com olsun www.asd.com/page/4 girildiği zaman direk index.php?page=4 girilmiş gibi oluyor index.php?page=4 çağırılıyor


    Bittik biz bittik
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Cosmic
    Cosmic's avatar
    Kayıt Tarihi: 14/Haziran/2006
    Erkek

    @ndmylmz 

     

    post ile yada get ile alınan verileri hangi fonksiyona sokuyorsun?


    Bittik biz bittik
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Ayro
    Ayro's avatar
    Kayıt Tarihi: 08/Ağustos/2005
    Erkek

    3 senedir php, 4 sene öncede aspye başlamış biri olarak ; stored procedure bir önlem olduğunu bu sene sandman'dan öğrendim.

    Öyle mysql_real_Escap_string falan önlemiyormuş tamamen.bi ton yolu varmış.pdo, stored procedure....

    Gerçekten bu iş karışık. 

    bize orda burda site kodlamayı öğretiyorlar.Aptallar güvenlik dedimi htmlescape ile mysql real'i kullandımı tamam diyorlar.Babayı tamam.

    pdo ? stored procedure ? 

    hatta benim şu anda bilmediğim yöntemler ? Daha neler var kim bilir.Yok.Blog yapıyorsun, forum yapıyorsun güvenlik dedimi bunlar yok.Kendileride bilmiyor.

    Salak herifler.

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ndmylmz
    ndmylmz's avatar
    Kayıt Tarihi: 01/Ocak/2010
    Erkek

    Cosmic bunu yazdı:
    -----------------------------

    @ndmylmz 

     

    post ile yada get ile alınan verileri hangi fonksiyona sokuyorsun?


    -----------------------------

    hcam kendi yazdığım korunma fonksiyonları var onun dıında php de strip_tags fonksiyonuna da sokuyorum verileri. o dediğiiniz permalink olayıyla oluyorsa yapmayı denerim ama permalink olmayan yerlerde de yapılmaması için ne yapmak gerekiyor peki?


    Sistemi de kapattım ama PHP konusunda hala yardımcı olurum // Boş gezenin boş kalfası - Öğrenci - YTÜ
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ndmylmz
    ndmylmz's avatar
    Kayıt Tarihi: 01/Ocak/2010
    Erkek

    up


    Sistemi de kapattım ama PHP konusunda hala yardımcı olurum // Boş gezenin boş kalfası - Öğrenci - YTÜ
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    snnyk
    snnyk's avatar
    Kayıt Tarihi: 28/Mayıs/2007
    Erkek

    hatalar art niyetli kişiler için rehber niteliğindedir ilk iş olarak mysql error ları kapat

    2. si sql e kod enjekte edeceği yerler bellidir oda yazılımcının kullanıcıdan get ve post la aldığı değerler

    bu değerleri süzmeninde onlarca yolu var

     


    snnyk.com - code is poetry all that i know...
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ndmylmz
    ndmylmz's avatar
    Kayıt Tarihi: 01/Ocak/2010
    Erkek

    ya hajiv ile bütün veritabanını almasını önlemek için ne yapmalıyım asıl sorum bu? şimdiki yazdığım site : forum.firebang.com burda nasıl önlücem veritabanının alınmasını?


    Sistemi de kapattım ama PHP konusunda hala yardımcı olurum // Boş gezenin boş kalfası - Öğrenci - YTÜ
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Böcüklerin Efendisi
    krypt
    krypt's avatar
    Kayıt Tarihi: 05/Mart/2004
    Erkek

    Prepared statement'ları da tavsiye ediyorlar.


    while (1<2)
Toplam Hit: 2062 Toplam Mesaj: 10