RE: [Linux-programlama] PHP 'de değişken problemim ?

From: Erkan BALABAN (erkanbalaban@ultratv.net)
Date: Mon 24 Jan 2005 - 23:11:16 EET

• Previous message: Erol Ozcan: "Re: [Linux-programlama] A Fark B (SQL)"
• In reply to: Emir TAĞMAT: "Re: [Linux-programlama] PHP 'de değişken problemim ?"
• Next in thread: Ahmet ERDOGAN: "Re: [Linux-programlama] PHP 'de değişken problemim ?"
• Next in thread: AbLuKA AbLuKA: "[Linux-programlama] delphi"

Tabii böyle bir include olayına başlamadan once $_GET['sayfa'] ile gelen
verinin temizlenmesi de gerekir. Emir beye ilaveten özellikle nokta ve /
karakterlerinden mutlaka arındırılması gerekir. Sadece host edilen başka bir
sitenin bilgileri değil server da var olan diğer dizinlere ve içindeki
dosyalara da erişim sağlanmış olabilir. Dikkat etmek gerek.

Erkan BALABAN
Bilgi İşlem Uzmanı
YEN YURTDIŞI EĞİTİM NETWORK

  _____

From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Emir
TAGMAT
Sent: Monday, January 24, 2005 9:40 PM
To: linux-programlama@liste.linux.org.tr
Subject: Re: [Linux-programlama] PHP 'de değişken problemim ?

Sayın ERDOĞAN,

Anımsadığım kadarıyla include ile değişken kullanılmıyordu. Bir yerden bu
ayarlanıyor olsa bile çok muazzam bir güvenlik açığı bir şekilde bir include
sağlanarak örn. aynı sunucudaki başka bir site ya da aynı host firmanızdan
sitenizi hacklemek isteyen birinin aldığı deneme hesabından
"../../kendisitesi.com/vs...php" şeklinde bir dosyayı include ettirerek
dosyalarınızı okuyabilir. Switch ve case yapısını kullanırsanız her sayfayı
ayrı ayrı tanımlayarak daha güvenli bir şekilde çalışabilirsiniz.

Bir de tam anlaşılmıyor ama sanırım get verisini inculde ettiğiniz kodun
okuyamaması problemi dee yaşıyorsunuz. include ettiğiniz dosya global
olmadığı sürece değişkenleri include eden koddan değişken okumaz.

Saygılarımla,
Emir TAĞMAT

Ahmet ERDOGAN yazmış:

Merhabalar.
 
cevabınız için teşekkür ederim adem bey ancak index dosyamda diğer
sayfayı açmasını isterken şu satırları kullanıyorum........
 
   <?php
        if ($_GET["sayfa"]<>"")
     {include "".$_GET["sayfa"]."";}
     else{ include "ana.php"; }
   ?>
 
sayfa=ana.php&değişken=değer
 
burada yanlış olan değişkene gelen tüm değerlerin
hepsini index dosyası kullanabiliyor ancak diger dosyasının
kullanamaması....
 
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
 
 
  

_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama

• Previous message: Erol Ozcan: "Re: [Linux-programlama] A Fark B (SQL)"
• In reply to: Emir TAĞMAT: "Re: [Linux-programlama] PHP 'de değişken problemim ?"
• Next in thread: Ahmet ERDOGAN: "Re: [Linux-programlama] PHP 'de değişken problemim ?"
• Next in thread: AbLuKA AbLuKA: "[Linux-programlama] delphi"