From: Yılmaz ŞİPKA (bilgi@okyanusmedya.com.tr)
Date: Thu 26 Jul 2007 - 10:46:43 EEST
Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.
Birde artık özellikle mail formlarında ikinci bir kontrol yapmak gerekiyor.
Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
ediyorum ki dışarıdan bir şekilde mail gönderemesinler.
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Erdal
YAZICIOGlU
Sent: Thursday, July 26, 2007 10:31 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
İşte tamda ben bunu demek istemiştim...
Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
yapıyoruz..
Örneğin üye kayıt formumuz...
Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
biri istediği kadar giriş yapabilir öyle değil mi?
Erdal
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
ASCI
Sent: Thursday, July 26, 2007 9:47 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
Merhaba,
Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
göremiyorsanız kullanıcınız da göremez.
Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
yapabilirsiniz.
Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
durumdan kaçınmanız çok da gerekli değildir kanımca.
Kolay gelsin.
On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> Teşkkürler...
>
>
> Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
name
> tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca uygularız....
>
> Yani formda name = "password" Adam bunu view source yapıca görüyor...
> Bunu şöyle bir yazsak olur mu
> Form.php
> form action =action.php
> input type=text name=<?echo sha1('name');?> value=''
> /form
>
> action.php'de bunu nasıl eşleştirmk lazım...
>
> Yani adam view sourc ettiğinde benim name'leri görmsin..
>
> Nasış bir mantık yürütmek gerekir
>
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of M.Atif
> CEYLAN
> Sent: Thursday, July 26, 2007 9:16 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Erdal YAZICIOGlU yazmış:
> >
> > Merhaba,
> >
> > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > istedim...PHP ve Mysql kullanıyorum
> >
> > Kolay gele
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> kolay gelsin
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
-- Ismail ASCI-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)
iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama