From: Nuri Akman (nuri.akman@hazine.gov.tr)
Date: Fri 12 Jan 2007 - 08:18:17 GMT
Arkadaşlar,
URL'den parametre alarak çalışma sırasında web sitesinin (örnek: modul=haber sonrası C99 veya R57) ve veritabanının (örnet: drop table users; ) kalabileceği tehlikeler sanırım herkesin ortak problemi.
URL'den parametrelerine karşı alınabilecek güvenlik tedbirleri bir örnek ile gösterebilecek kimse var mıdır acaba?
Sevgiler,
Nuri AKMAN
----- Original Message -----
From: A OKAN YÜKSEL
To: linux-programlama@liste.linux.org.tr
Sent: Thursday, January 11, 2007 11:19 PM
Subject: Re: [Linux-programlama] ?sayfaid=4 korkusu ...
magic quotes saldırıyı engelleyemez
On 1/11/07, Ömer F. USTA <omerusta@gmail.com> wrote:
tüm aldığınız değerleri önce şunun içine soktuktan sonra
bir değişkene atarsanız çok daha güvenli olacaktır
function mktag($string) // Gelen metnin html tagı olarak
algılanması için
{ // değişiklik yapar.
/* Add slashes if necessary */
if(!get_magic_quotes_gpc()) {
$string = addslashes($string);
}
return htmlspecialchars($string,ENT_QUOTES);
}
bu fonksiyonu şu şekilde kullanabilirsiniz mesela
$_SESSION["kullanici"]=mktag($_POST['kullanici']);
$_SESSION["password"]=md5(mktag($_POST['password']));
On 1/11/07, A OKAN YÜKSEL <kaox.gen@gmail.com> wrote:
> gelen tüm inputları doğru şekilde süzgeçten geçirdiğiniz sürece sorun
> yaşamassınız eğer mysql kullanıyorsanız global kullanıcı ile çalışmamanızı
> öneririm. yine sunucu taraflı bir tedbir olarak virtualhost lar için
> openbasedir tanımlamanızı, bunun dışında system exec gibi fonksyionları
> php.ini'da disable functions'a ekleyerek kapatmanızı
> öneriyorum
>
> On 1/11/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
> >
> >
> >
> > Arkadaşlar,
> >
> > Hazırladığım PHP web sitesinde articlegoster.php?sayfaid=4 şeklinde
> erişilen sayfalarım var.
> > Sayfa içinde $SayfaID = (int) $_GET['sayfaid']; şeklinde bir kontrol
> alarak bu şekilde gelecek saldırıyı önlemeye çalıştım.
> >
> > Soru 1.) Numerik değerler için bu tedbir yeterli midir?
> >
> > Soru 2.) Bu şekilde çalışan bir site için bir "güvenlik açığı" sözkonusu
> olabilir mi?
> >
> > Soru 3.) Bu şekildeki bir site için extra "güvenlik tedbiri" ihtiyacı var
> mıdır?
> >
> > Sevgiler,
> > Nuri AKMAN
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> >
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> >
> >
>
>
>
> --
> http://www.knyksl.com/
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
>
--
Ömer Fadıl USTA
http://www.bilisimlab.com/
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
------------------------------------------------------------------------------
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama