From: Ömer F. USTA (omerusta@gmail.com)
Date: Thu 11 Jan 2007 - 16:36:20 GMT
tüm aldığınız değerleri önce şunun içine soktuktan sonra
bir değişkene atarsanız çok daha güvenli olacaktır
function mktag($string) // Gelen metnin html tagı olarak
algılanması için
{ // deÄŸiÅŸiklik yapar.
/* Add slashes if necessary */
if(!get_magic_quotes_gpc()) {
$string = addslashes($string);
}
return htmlspecialchars($string,ENT_QUOTES);
}
bu fonksiyonu ÅŸu ÅŸekilde kullanabilirsiniz mesela
$_SESSION["kullanici"]=mktag($_POST['kullanici']);
$_SESSION["password"]=md5(mktag($_POST['password']));
On 1/11/07, A OKAN YÃœKSEL <kaox.gen@gmail.com> wrote:
> gelen tüm inputları doğru şekilde süzgeçten geçirdiğiniz sürece sorun
> yaşamassınız eğer mysql kullanıyorsanız global kullanıcı ile çalışmamanızı
> öneririm. yine sunucu taraflı bir tedbir olarak virtualhost lar için
> openbasedir tanımlamanızı, bunun dışında system exec gibi fonksyionları
> php.ini'da disable functions'a ekleyerek kapatmanızı
> öneriyorum
>
> On 1/11/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
> >
> >
> >
> > ArkadaÅŸlar,
> >
> > Hazırladığım PHP web sitesinde articlegoster.php?sayfaid=4 şeklinde
> erişilen sayfalarım var.
> > Sayfa içinde $SayfaID = (int) $_GET['sayfaid']; şeklinde bir kontrol
> alarak bu şekilde gelecek saldırıyı önlemeye çalıştım.
> >
> > Soru 1.) Numerik değerler için bu tedbir yeterli midir?
> >
> > Soru 2.) Bu şekilde çalışan bir site için bir "güvenlik açığı" sözkonusu
> olabilir mi?
> >
> > Soru 3.) Bu şekildeki bir site için extra "güvenlik tedbiri" ihtiyacı var
> mıdır?
> >
> > Sevgiler,
> > Nuri AKMAN
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> >
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> >
> >
>
>
>
> --
> http://www.knyksl.com/
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
>
-- Ömer Fadıl USTA http://www.bilisimlab.com/
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama