SQL Injection Yememem İçin

tolgahat · 29 Mayıs 2007

PHP:

<?
	// Sayfa Ayarları Yapılıyor...
	include 'ayar.php';

	if(empty($_GET[id]) || $_GET[id] == '' || (integer)$_GET[id] == 0) { 
    die('URL\'de oynama yapmaya kalkismayiniz! Anladın Sen Onu'); 
   }  

    else { 
    $id_sent = (integer)$_GET[id]; 
} 
        $strSQL=mysql_db_query($veritabani,"UPDATE .$site_tableName SET hit=hit+1 WHERE id='$id_sent'");
	$satir=mysql_fetch_array(mysql_db_query($veritabani, "SELECT * FROM  .$site_tableName WHERE id='$id_sent' "));
	
	
	
?>

Yukardaki integer olayı yeterlimidir extra bişey eklemek lazım mı şuan bu şekil ayarladım ama sayfa gösterimi oldukça fazla olan bir sitem var biraz acemiyim php de integer kodunuda iyinetten buldum..

Bilgilerinizi paylaşırsanız sevinirim.

atay · 29 Mayıs 2007

ben hep bu fonksiyonumdan geçiriyorum:

function htmlkodla($deger) {
$karakter=array("UNION",">","<","'","\"");
$kodla=array("UN1ON",">","<","'",""");
$deger=str_replace($karakter,$kodla,$deger);
return $deger;
}

gelebilecek bütün tehlikeleri önce html koda çevirip değişkeni daha sonra sql içine sokunca risk %0 oluyor...

dsgnr · 29 Mayıs 2007

PHP:

$gelen_veri = striptags($_GET['veri']);
$gelen_veri = htmlspecialchars($gelen_veri);
echo $gelen_veri;

şimdi daha iyi

tolgahat · 29 Mayıs 2007

PHP:

     function htmlkodla($id_sent) {
     $karakter=array("UNION",">","<","'","\"");
     $kodla=array("UN1ON",">","<","'",""");
     $id_sent=str_replace($karakter,$kodla,$deger);
     return $id_sent;
}

şu şekilde ekledim.. bide alta

dsgnr senin dediğini uyarlamadım abi bu arada ilgilendiğiniz için tşkler.

yada dsgnr sen numeriği silip böyleme mi yapmamı istiyosun..

dsgnr · 29 Mayıs 2007

tolgahat' Alıntı:
PHP:

function htmlkodla($id_sent) { $karakter=array("UNION",">","<","'","\""); $kodla=array("UN1ON",">","<","'","""); $id_sent=str_replace($karakter,$kodla,$deger); return $id_sent; }

şu şekilde ekledim.. bide alta

dsgnr senin dediğini uyarlamadım abi bu arada ilgilendiğiniz için tşkler.

yada dsgnr sen numeriği silip böyleme mi yapmamı istiyosun..

üstte ki fonksiyonda yapılan işlem
< = <
bunun gibi çeviri işleri
htmlspecialchars($veri);
ile bütün halde yapılabilinir. maksat işlemin uzamaması.

tolgahat · 29 Mayıs 2007

PHP:

  $idnum = (integer)$_GET[id]; 
	$id_sent = htmlspecialchars($idnum);

böle yapmam yeterli sanırım artık..

atay · 29 Mayıs 2007

$idnum=htmlkodla($idnum);

daha sağlıklı olur.

dipnot: söylediği üzere fonksiyon htmlspecialchars'ın işlemini yapıyor fakat bu tarz bi konuda kendi fonksiyonumuzu yazmamız bizim lehimizedir. çünkü denetlemeye aniden birşey eklemek/çıkartmak/düzenlemek istersek bunun bir mümkünatı olur.

dsgnr · 29 Mayıs 2007

atay' Alıntı:
$idnum=htmlkodla($idnum);

daha sağlıklı olur.

dipnot: söylediği üzere fonksiyon htmlspecialchars'ın işlemini yapıyor fakat bu tarz bi konuda kendi fonksiyonumuzu yazmamız bizim lehimizedir. çünkü denetlemeye aniden birşey eklemek/çıkartmak/düzenlemek istersek bunun bir mümkünatı olur.

atay şu anda senin verdiğin işlemi fazlası ile htmlspecialchars yapmaktadır.

$idnum = (integer)$_GET[id];
$id_sent = htmlspecialchars($idnum);

dedikten sonra ek birşey gerekirse zaten bunun altına ek olarak yazabilir. senin verdiğin kod ile işi uzatmış olur sadece.

atay · 29 Mayıs 2007

kendin pişir kendin yeciyim ben

lazım olursa & da eklerim fonksiyona olur biter.

tolgahat:

son olarak, sql injeksiyondan gelen karakterleri html karaktere çevirerek ebediyen kurtulabilirsin. veya ' " gibi karakterlerin başına \ 'da ekleyebilirsin.

saat 7 oldu artık, herkese iyi sabahlar diyerek uykulu gözlerimle yatağıma süzüleyim

dsgnr · 29 Mayıs 2007

atay' Alıntı:
kendin pişir kendin yeciyim ben lazım olursa & da eklerim fonksiyona olur biter.

tolgahat:

son olarak, sql injeksiyondan gelen karakterleri html karaktere çevirerek ebediyen kurtulabilirsin. veya ' " gibi karakterlerin başına \ 'da ekleyebilirsin.

saat 7 oldu artık, herkese iyi sabahlar diyerek uykulu gözlerimle yatağıma süzüleyim

yaw o işlemlerin hepsini zaten htmlspecialchars yapıo

ör :

giden veri : <script>alert("selam");</script>

#########
$veri = '<script>alert("selam");</script>';
$islem = htmlspecialchars($veri);
echo $islem;
#########

bunun çıktısı : <script>alert("selam");</script> bu olacak

tolgahat · 29 Mayıs 2007

php.netten baktım bende yani kodları şişirmeye gerek yok gibim geldi bana belki aralamlarda atayınki daha sağlıklı olabilir ama genelde olarak htmlspecialchars güzel.

Description
string htmlspecialchars ( string $string [, int $quote_style [, string $charset]] )

Certain characters have special significance in HTML, and should be represented by HTML entities if they are to preserve their meanings. This function returns a string with some of these conversions made; the translations made are those most useful for everyday web programming. If you require all HTML character entities to be translated, use htmlentities() instead.

This function is useful in preventing user-supplied text from containing HTML markup, such as in a message board or guest book application. The optional second argument, quote_style, tells the function what to do with single and double quote characters. The default mode, ENT_COMPAT, is the backwards compatible mode which only translates the double-quote character and leaves the single-quote untranslated. If ENT_QUOTES is set, both single and double quotes are translated and if ENT_NOQUOTES is set neither single nor double quotes are translated.

The translations performed are:

* '&' (ampersand) becomes '&'
* '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes ''' only when ENT_QUOTES is set.
* '<' (less than) becomes '<'
* '>' (greater than) becomes '>'

Example 2353. htmlspecialchars() example
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>

dsgnr · 29 Mayıs 2007

bunların yanı sıra

htmlentities(); ve strip_tags(); ıda incele.

mehmet-ali · 29 Mayıs 2007

integer yeterlidir.

fan · 29 Mayıs 2007

$gelen = int($_GET['id']);

en azından id için başka bişey yapmana gerek yok.

tolgahat · 29 Mayıs 2007

arama kısmında ne gibi korulamalar alabiliriz htmlspecialchars() yeterli olurmu..

atay · 29 Mayıs 2007

dsgnr' Alıntı:
yaw o işlemlerin hepsini zaten htmlspecialchars yapıo

atay' Alıntı:
kendin pişir kendin yeciyim ben lazım olursa & da eklerim fonksiyona olur biter.

biliyorum

tolgahat: arama içinde html çeviri yapıyorum. herhangi bir sorunla karşılaşmadım.

tolgahat · 29 Mayıs 2007

herkeze teşekkürler bende asp de replace yapıyodum php ye geçince böle sıkıntılarım oldu açıkçası öğrenmek te fayda var önce güvenlik.

saho · 12 Haziran 2007

htmlspecialchars strip_tags yeterli olmaz integer olmasa idi şappilerlerdi seni
foreach($_POST as $sa=>$ho) $_POST[$sa]=addslashes($_POST[$sa]);
ile ' OR 1=1 gibi bir injeksiyonu engelleyebilirsiniz
bakınız soyturk un spiderbot a yaptığı sitedkei üyelik sistemindeki ' or 1=1 açığı ile rahatça admine hoplanabiliyor

slashes leyerek engellenebiliyor
mysql_real_escape_string bir çok yerde öneriliyor başta php.net olarak genel içeriği slashes ve htmlspecialchars ve union or ları boşlukla dğeişmesi yani silmesi

*siber* · 6 Ağustos 2007

htmlspecialchars varken ekstraya gerçekten gerek yok

iyinet · 7 Ağustos 2007

MySQL icin:
1. sorgunuzda tirnak '' kullanin, veri tipi integer bile olsa.
2. sorgunuzda addslashes kullanin

Ornek:

PHP:

<?
$id=$_GET['$id'];
mysql_query("select ad,soyad from tablo where id = '".addslashes($id)."'");
?>

Bu sorguda id ile SQL injection yapildigini varsayalim:

Ornek:
program.php?id=' OR 1=1
seklinde cagrilsin

$id=$_GET['$id'];
// $id = "' OR 1=1" degerini icerir

mysql_query("select ad,soyad from tablo where id = '".addslashes($id)."'");
// mysql sorgusu bu sekli alir ve sonuc dondurmez: select ad,soyad from tablo where id = '\' OR 1=1'

Sonuc dondurmemesi bu durumda iyidir, cunku sorguya SQL injection yapilmistir ama basarisiz olmustur.

SQL Injection Yememem İçin

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

Root

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5