From: Ismail ASCI (ismail.asci@gmail.com)
Date: Thu 26 Jul 2007 - 10:41:52 EEST
Web uygulaması güvenliğinin en temel unsuru kullanıcıdan gelen veriye
kesinlikle güvenmemektir. Veritabanında işlem yapmadan önce verileri
mutlaka temizleyin.
Validasyon sınıfları ya da fonksiyonları hazırlayın.
Örnegin bir tamsayı ile select sorgusu yapacaksanız o sayının tamsayı
olduguna emin olmadan sorguya sokmayın. Regular expression kavramını
bolca kullanmanız gerekecek.
Fikir vermesi açısında google'da php validation ya da php sanitiza
kelimeleri faydalı olacaktır.
On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> İşte tamda ben bunu demek istemiştim...
>
> Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
> örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
> yapıyoruz..
>
> Örneğin üye kayıt formumuz...
> Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
> biri istediği kadar giriş yapabilir öyle değil mi?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 9:47 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Merhaba,
> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
> göremiyorsanız kullanıcınız da göremez.
> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
> yapabilirsiniz.
> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
> durumdan kaçınmanız çok da gerekli değildir kanımca.
> Kolay gelsin.
>
>
> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> > Teşkkürler...
> >
> >
> > Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
> name
> > tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca uygularız....
> >
> > Yani formda name = "password" Adam bunu view source yapıca görüyor...
> > Bunu şöyle bir yazsak olur mu
> > Form.php
> > form action =action.php
> > input type=text name=<?echo sha1('name');?> value=''
> > /form
> >
> > action.php'de bunu nasıl eşleştirmk lazım...
> >
> > Yani adam view sourc ettiğinde benim name'leri görmsin..
> >
> > Nasış bir mantık yürütmek gerekir
> >
> >
> > Erdal
> >
> > -----Original Message-----
> > From: linux-programlama-bounces@liste.linux.org.tr
> > [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of M.Atif
> > CEYLAN
> > Sent: Thursday, July 26, 2007 9:16 AM
> > To: linux-programlama@liste.linux.org.tr
> > Subject: [Linux-programlama] Re: SQL Injection
> >
> > Erdal YAZICIOGlU yazmış:
> > >
> > > Merhaba,
> > >
> > > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > > istedim...PHP ve Mysql kullanıyorum
> > >
> > > Kolay gele
> > >
> > > ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> > işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> > genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> > tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> > olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> > kolay gelsin
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
>
>
> --
> Ismail ASCI
>
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.2 (GNU/Linux)
>
> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
> =Xy4T
> -----END PGP PUBLIC KEY BLOCK-----
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
-- Ismail ASCI-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)
iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama