

SQL İnjection - PHP - Korunma Yolları
-
İronhazee adlı arkadaşımızın SQL Injection - Azmin Sonu Başarı, Peki Daha Neler Yapabilirim? adlı konusunda yazmıştım ama konuyla alakalı olmadığını düşünerek tekrar buraya yazıyrum..
=================================================================================
hocam bende kendi çapımda siteler tasarlıyorum ama sql injectiondan anlamam.Havij adlı programı indirip kendim kullandım basit bişey kendi sitem üzerinde denedim ve tüm veritabanını görebildim. Bundan nasıl korunurum. Normal text alanlarından yapılan sql injectionlar hakkında bilgim var biraz da bunun nasıl yapıldığını ve nasıl korunacağımı bilmiyorum.
Herkes elindeki bilgileri paylaşırsa ben ve diğer öğrenmek isteyenlere bi faydası olur sanırım :) Şimdiden sağolun
-
permalink olayı var hocam. nasıl olduğunu bende bilmiyorum. anlatan olursa dinlerim :) query string i saklıyor.
-
Gharzvog bunu yazdı:
-----------------------------
permalink olayı var hocam. nasıl olduğunu bende bilmiyorum. anlatan olursa dinlerim :) query string i saklıyor.
-----------------------------htaccess ile yapılıyor RewriteRule diye arat hocam.örnek vermek gerekirse şu şekilde:
RewriteRule ^page/(.*) index.php?page=$1 [L]
mesela sitemiz www.asd.com olsun www.asd.com/page/4 girildiği zaman direk index.php?page=4 girilmiş gibi oluyor index.php?page=4 çağırılıyor
-
@ndmylmz
post ile yada get ile alınan verileri hangi fonksiyona sokuyorsun?
-
3 senedir php, 4 sene öncede aspye başlamış biri olarak ; stored procedure bir önlem olduğunu bu sene sandman'dan öğrendim.
Öyle mysql_real_Escap_string falan önlemiyormuş tamamen.bi ton yolu varmış.pdo, stored procedure....
Gerçekten bu iş karışık.
bize orda burda site kodlamayı öğretiyorlar.Aptallar güvenlik dedimi htmlescape ile mysql real'i kullandımı tamam diyorlar.Babayı tamam.
pdo ? stored procedure ?
hatta benim şu anda bilmediğim yöntemler ? Daha neler var kim bilir.Yok.Blog yapıyorsun, forum yapıyorsun güvenlik dedimi bunlar yok.Kendileride bilmiyor.
Salak herifler.
-
Cosmic bunu yazdı:
-----------------------------
@ndmylmz
post ile yada get ile alınan verileri hangi fonksiyona sokuyorsun?
-----------------------------hcam kendi yazdığım korunma fonksiyonları var onun dıında php de strip_tags fonksiyonuna da sokuyorum verileri. o dediğiiniz permalink olayıyla oluyorsa yapmayı denerim ama permalink olmayan yerlerde de yapılmaması için ne yapmak gerekiyor peki?
-
up
-
hatalar art niyetli kişiler için rehber niteliğindedir ilk iş olarak mysql error ları kapat
2. si sql e kod enjekte edeceği yerler bellidir oda yazılımcının kullanıcıdan get ve post la aldığı değerler
bu değerleri süzmeninde onlarca yolu var
-
ya hajiv ile bütün veritabanını almasını önlemek için ne yapmalıyım asıl sorum bu? şimdiki yazdığım site : forum.firebang.com burda nasıl önlücem veritabanının alınmasını?
-
Prepared statement'ları da tavsiye ediyorlar.