SQL Injection

desoLate · 20 Mart 2007

sayfa.php?id=1 adresinde sql injection önlemek için sayfa içinde alınan id'yi $id=htmlspecialchars($id); şeklinde almak yeterli midir ? Yeterli değilse başka neler yapmak gerekir ?

iyinet · 21 Mart 2007

desoLate' Alıntı:
sayfa.php?id=1 adresinde sql injection önlemek için sayfa içinde alınan id'yi $id=htmlspecialchars($id); şeklinde almak yeterli midir ? Yeterli değilse başka neler yapmak gerekir ?

PHP:

$id = mysql_real_escape_string($_GET['id']);

atay · 21 Mart 2007

mysql_real_escape_string'in ne farkı var?

iyinet · 21 Mart 2007

atay' Alıntı:
mysql_real_escape_string'in ne farkı var?

Neyden ne farki var?
Lutfen soru sorarken sizin o anda dusunduklerinizin, bizim o anda dusunduklerimiz ile ayni olamayacagini gozonunde bulundurarak sorularinizi detayli yaziniz.

desoLate · 21 Mart 2007

herhalde, htmlspecialchars();'ın mysql_real_escape_string'den farkını sormak istemiş.. Lütfen biraz detaylı olarak açıklar mısınız iyinet?

Caesar · 21 Mart 2007

htmlspecialchars html satirlarini yok eder ama ' " UNION tarzi injection lar html tag değildir.

Baria · 21 Mart 2007

is_numeric kullanman daha mantıklı

iyinet · 21 Mart 2007

Baria' Alıntı:
is_numeric kullanman daha mantıklı

is_numeric yerine int cast ediniz.

PHP:

if($id == (int) $id) {
   islem yap...
} else {
   islem yapma...
}

atay · 21 Mart 2007

iyinet' Alıntı:
Neyden ne farki var?
Lutfen soru sorarken sizin o anda dusunduklerinizin, bizim o anda dusunduklerimiz ile ayni olamayacagini gozonunde bulundurarak sorularinizi detayli yaziniz.

birbiri arasındaki fark nedir yani, ekstradan ne yapıyor?

manual'den baktım,

mysql_real_escape_string() calls MySQL's library function mysql_real_escape_string, which prepends backslashes to the following characters: \x00, \n, \r, \, ', " and \x1a.

diyordu görevi için. htmlspecialchars'de bu görevi yapıyor sayılır, <, >, ', ", ve & karakterlerini html koda dönüştürüyor. bu karakterleri kullanmadan sql injeksiyon yapılabilir mi ?

Baria · 21 Mart 2007

iyinet' Alıntı:
is_numeric yerine int cast ediniz.

PHP:

if($id == (int) $id) { islem yap... } else { islem yapma... }

is_numeric ile int arasındaki fark nedir? hız açısından mı?

PHP:

if ( !is_numeric($_GET[id])) {
echo "İşlem yapılamaz";
exit();
}

Angelo · 21 Mart 2007

Bu işi hayatınızda sorun olmaktan çıkartmak için, include ettiğiniz fonksiyon veya konfigurasyon dosyanıza bir fonksiyon ekleyin. Mesela;

PHP:

function sanitize () {
  
  foreach ($_POST as $key => $value) {
  $_POST[$key] = mysql_real_escape_string($value);
  }

  foreach ($_GET as $key => $value) {
  $_GET[$key] = mysql_real_escape_string($value);
  }

return 1;
}

gibi.

Sonra her dosyanın başına sanitize(); yapıp bütün sayfalardaki post ve get verilerini temizleyin. Bunu en baştan yaparsanız sonra tek tek uğraşmazsınız.

iyinet · 21 Mart 2007

Baria' Alıntı:
is_numeric ile int arasındaki fark nedir? hız açısından mı?

PHP:

if ( !is_numeric($_GET[id])) { echo "İşlem yapılamaz"; exit(); }

Hem hiz hemde is_numeric "4e4" u numara gibi gosterir, numara olmadigi halde!

Crash · 21 Mart 2007

$id=intval($_GET['id']);
id değerini her zaman için tam sayı olarak alır.

iyinet · 21 Mart 2007

cepX.net' Alıntı:
$id=intval($_GET['id']);
id değerini her zaman için tam sayı olarak alır.

intval da kullanmayin.
Bakin intval ile girilen degerler nasil baska bir deger olabiliyor

PHP:

echo intval(4.2);                    // 4
echo intval(042);                    // 34
echo intval('042');                  // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(420000000000000000000);  // 0
echo intval('420000000000000000000'); // 2147483647

En guvenilir yontem:

PHP:

if($id == (int) $id) { 
   islem yap... 
} else { 
   islem yapma... 
}

Crash · 21 Mart 2007

iyinet' Alıntı:

intval da kullanmayin.
Bakin intval ile girilen degerler nasil baska bir deger olabiliyor

PHP:

echo intval(4.2);                    // 4
echo intval(042);                    // 34
echo intval('042');                  // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(420000000000000000000);  // 0
echo intval('420000000000000000000'); // 2147483647

farkeden ne oldu ? senin başta yaptığın kontrolü ben sql de yaptırıyorum.Sonucta güvenlimi değilmi ?
senin aşağıda yazdığın rakammıdır değilmidir önergesine 42222000000 gibi bi rakam yazsam benimkinden farklı bir sonucmu alacaksın ?

Baria · 22 Mart 2007

Ben id işlemlerinde is_numeric post işlemlerinde ise mysql_real_escape_string kullanıyorum.Hiç sorun yaşamadım.

is_numeric yada intval geçebilen bir kod var mı? varsa yazarmısınız?

SQL Injection

desoLate

0

iyinet

Root

atay

0

iyinet

Root

desoLate

0

Caesar

0

Baria

iyinet

Root

atay

0

Baria

Angelo

0

iyinet

Root

Crash

0

iyinet

Root

Crash

0

Baria