From: A OKAN YÜKSEL (kaox.gen@gmail.com)
Date: Fri 12 Jan 2007 - 14:27:52 GMT
php.ini dosyasından allow_url_fopen = On değerini off yaparsanız c99 veya
r57 ile yapılabilecek remote file inclusion saldırılarından
korunabilirsiniz.
On 1/12/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
>
> Arkadaşlar,
>
> URL'den parametre alarak çalışma sırasında web sitesinin (örnek:
> modul=haber sonrası C99 veya R57) ve veritabanının (örnet: drop table users;
> ) kalabileceği tehlikeler sanırım herkesin ortak problemi.
>
> URL'den parametrelerine karşı alınabilecek güvenlik tedbirleri bir örnek
> ile gösterebilecek kimse var mıdır acaba?
>
> Sevgiler,
> Nuri AKMAN
>
> ----- Original Message -----
> *From:* A OKAN YÜKSEL <kaox.gen@gmail.com>
> *To:* linux-programlama@liste.linux.org.tr
> *Sent:* Thursday, January 11, 2007 11:19 PM
> *Subject:* Re: [Linux-programlama] ?sayfaid=4 korkusu ...
>
> magic quotes saldırıyı engelleyemez
>
> On 1/11/07, Ömer F. USTA <omerusta@gmail.com> wrote:
> >
> > tüm aldığınız değerleri önce şunun içine soktuktan sonra
> > bir değişkene atarsanız çok daha güvenli olacaktır
> > function mktag($string) // Gelen metnin html tagı olarak
> > algılanması için
> > { // değişiklik yapar.
> > /* Add slashes if necessary */
> > if(!get_magic_quotes_gpc()) {
> > $string = addslashes($string);
> > }
> > return htmlspecialchars($string,ENT_QUOTES);
> > }
> >
> >
> > bu fonksiyonu şu şekilde kullanabilirsiniz mesela
> > $_SESSION["kullanici"]=mktag($_POST['kullanici']);
> > $_SESSION["password"]=md5(mktag($_POST['password']));
> >
> >
> >
> > On 1/11/07, A OKAN YÜKSEL <kaox.gen@gmail.com> wrote:
> > > gelen tüm inputları doğru şekilde süzgeçten geçirdiğiniz sürece sorun
> > > yaşamassınız eğer mysql kullanıyorsanız global kullanıcı ile
> > çalışmamanızı
> > > öneririm. yine sunucu taraflı bir tedbir olarak virtualhost lar için
> > > openbasedir tanımlamanızı, bunun dışında system exec gibi
> > fonksyionları
> > > php.ini'da disable functions'a ekleyerek kapatmanızı
> > > öneriyorum
> > >
> > > On 1/11/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
> > > >
> > > >
> > > >
> > > > Arkadaşlar,
> > > >
> > > > Hazırladığım PHP web sitesinde articlegoster.php?sayfaid=4 şeklinde
> > > erişilen sayfalarım var.
> > > > Sayfa içinde $SayfaID = (int) $_GET['sayfaid']; şeklinde bir kontrol
> >
> > > alarak bu şekilde gelecek saldırıyı önlemeye çalıştım.
> > > >
> > > > Soru 1.) Numerik değerler için bu tedbir yeterli midir?
> > > >
> > > > Soru 2.) Bu şekilde çalışan bir site için bir "güvenlik açığı"
> > sözkonusu
> > > olabilir mi?
> > > >
> > > > Soru 3.) Bu şekildeki bir site için extra "güvenlik tedbiri"
> > ihtiyacı var
> > > mıdır?
> > > >
> > > > Sevgiler,
> > > > Nuri AKMAN
> > > > _______________________________________________
> > > > Linux-programlama mailing list
> > > > Linux-programlama@liste.linux.org.tr
> > > >
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > > >
> > > >
> > > >
> > >
> > >
> > >
> > > --
> > > http://www.knyksl.com/
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > >
> > >
> >
> >
> > --
> > Ömer Fadıl USTA
> > http://www.bilisimlab.com/
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> >
> >
>
>
> --
> http://www.knyksl.com/
>
> ------------------------------
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
>
-- http://www.knyksl.com/
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama