İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

_POST metodu ve güvenlik ? Önemli...

Y

yagmayok

1
İyinet Üyesi
Katılım
25 Ocak 2005
Mesajlar
7,131
Reaction score
89
post metodu ile ziyaretçiden veri alıyor ve kayıt ettiriyoruz. Eğer bu verileri bir süzgeçten geçirmez isek kötü kişiler tarafından sitemiz saldırı alır...

Bu konuda çok yazı okudum. Ancak tam bir cevap bulamadım. Çünkü farklı farklı yöntemler sergilenmiş. Hangisinin nasıl uygulancağı konusunda kararsız kaldım.

Bu konuda da forumda çok iyi arkadaşlar var. Acaba bu konuda yardımcı olabilir misiniz ?

Bu süzegeçten geçirme işlemi nasıl olmalı... Hangi kodlar kullanılmalı ve bu kullandığımız kodlar ne işe yarar ?

Teşekkürler...
 
M

Mywedding

1
İyinet Üyesi
Katılım
26 Eylül 2006
Mesajlar
5,893
Reaction score
96
Konum
www.odatv.com
Php'ye yeni başlayanların en büyük hatalarından birisinin bunları(GET ve POST) hiç bir filtreden geçirmeyerek sayfaya include/query/echo v.b şeyler yapmasıdır.

Önceden ben sadece mysql_real_escape_string den geçirip sayfaya yüklüyordum ve güvenli oldugunu düşündüm ama yanılmışdım Geçen günlerde bir heykır sayfama java-script yedirtmeyi başardı ve bende hemen bu açığa karşın bir önlem almak için bir araştırma yapdım.

Aşağıdaki fonksiyon bu tür güvenlik açıklarını kapatmaya yeterlidir.

örnek kodlar
function temizledegel($string)
{
if(get_magic_quotes_gpc())
{
$string = stripslashes($string);
}
elseif(!get_magic_quotes_gpc())
{
$string = addslashes($string);
}
$string = @mysql_real_escape_string($string);
return $string;
}
Genişletmek için tıkla ...

kullanımı
temizledegel($_GET[name]);
Genişletmek için tıkla ...
alıntı: http://www.eygun.com/php/post-ve-get-guvenligini-saglamak/


makaleler
http://forum.iyinet.com/php/61449-get-guvenligi.html
http://forum.iyinet.com/web-hosting...m/28088-get-ve-post-duzenleme-php-ini-de.html
http://www.turk-php.com/smf/index.php?PHPSESSID=06538df2ab5841c8120bf82a98b1dd21&topic=3146.msg16202
http://www.ceviz.net/guvenlik-tavsiyeleri_a1019.html
 
Y

yagmayok

1
İyinet Üyesi
Katılım
25 Ocak 2005
Mesajlar
7,131
Reaction score
89
Bu konu hakkında görüş belirtecek başka arkadaş yokmu ..?

Mywedding verdiği uygulamayı yapmak yeterlimidir ? yoksa başka süzgeç işlemlerinden geçirmemiz gerekli midir ? ...

PHP: 
function temizledegel($string)
{
if(get_magic_quotes_gpc())
{
$string = stripslashes($string);
}
elseif(!get_magic_quotes_gpc())
{
$string = addslashes($string);
}
$string = @mysql_real_escape_string($string);
return $string;
}
 
S

sonsuzhost

0
İyinet Üyesi
Katılım
28 Şubat 2006
Mesajlar
1,287
Reaction score
1
Konum
burdan yak
Fonksiyonun adı bana kahkaha attırdı gerçekten çok hoş bir adı var fonksiyonun :)

Mywedding buna birde htmlspecialchars fonksiyonuda eklemek sence gerekli bişimi gereksiz bişimi?
 
P

phpKF

0
İyinet Üyesi
Katılım
13 Aralık 2007
Mesajlar
38
Reaction score
0
html etiketleri de temizlemek isterseniz şunları ekleyin:

PHP: 
$string = @str_replace('>','>',$string);
$string = @str_replace('<','<',$string);
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5

Üst