From: Remzi Düzağaç (remzi.d@gmail.com)
Date: Thu 26 Jul 2007 - 11:27:29 EEST
php frame worklerin çou sql injectiona otomatik koruma sağlıyor
www.codeigniter.com benim kullandığım frame work gayet kullanışlı
On 7/26/07, serdar güler <e141598@metu.edu.tr> wrote:
>
> Değişik bir bakış açısı olarak:
>
> pythonla beraber SQLObject kullanıyorum, kendi otomatik query builder ı
> var ve bunu kullanmak SQL Injection a karşı bir koruma sağlıyor
> kendiliğinden.
>
> Genel olarak bu tarz konularda framework lerin çok yararlı olduğu
> kanısındayım. Php de böyle bir framework var mıdır bilmiyorum gerçi.
>
>
> Erdal YAZICIOGlU wrote:
>
> Bilgiler için çok teşekkürler. Olay kafamda biraz daha iyi canlandı.
>
> Diyelim ki session'a yazdık. Sonuçta bu session'ı unset etmemiz gerekecek.
> Yani ya adam sayfayı terk ettiğinde olacak bu iş yada belirli bir zaman
> sonra değil mi? Yani ne biliyim 1 hafta sonra gibi.. Yanlış mıyım?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr <linux-programlama-bounces@liste.linux.org.tr>] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 10:54 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> On 7/26/07, Yılmaz ŞİPKA <bilgi@okyanusmedya.com.tr> <bilgi@okyanusmedya.com.tr> wrote:
>
> Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
> kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
> ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
> mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.
>
> Merhaba,
>
> Birde artık özellikle mail formlarında ikinci bir kontrol yapmak
>
> gerekiyor.
>
> Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
> formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
> ediyorum ki dışarıdan bir şekilde mail gönderemesinler.
>
> Sadece referrer_url'i kontrol etmek yeterli olmayabilir. Burada header
> injection olayıda giriyor. Aynı şekilde e-posta formlarında da gelen
> veriyi filtrelemeniz gerekiyor.
>
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr <linux-programlama-bounces@liste.linux.org.tr>] On Behalf Of Erdal
> YAZICIOGlU
> Sent: Thursday, July 26, 2007 10:31 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> İşte tamda ben bunu demek istemiştim...
>
> Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
> örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
> yapıyoruz..
>
> Örneğin üye kayıt formumuz...
> Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
> biri istediği kadar giriş yapabilir öyle değil mi?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr <linux-programlama-bounces@liste.linux.org.tr>] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 9:47 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Merhaba,
> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
> göremiyorsanız kullanıcınız da göremez.
> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
> yapabilirsiniz.
> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
> durumdan kaçınmanız çok da gerekli değildir kanımca.
> Kolay gelsin.
>
>
> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> <erdal.yazicioglu@gmail.com> wrote:
>
> Teşkkürler...
>
>
> Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
>
> name
>
> tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca
>
> uygularız....
>
> Yani formda name = "password" Adam bunu view source yapıca görüyor...
> Bunu şöyle bir yazsak olur mu
> Form.php
> form action =action.php
> input type=text name=<?echo sha1('name');?> value=''
> /form
>
> action.php'de bunu nasıl eşleştirmk lazım...
>
> Yani adam view sourc ettiğinde benim name'leri görmsin..
>
> Nasış bir mantık yürütmek gerekir
>
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr <linux-programlama-bounces@liste.linux.org.tr>] On Behalf Of
>
> M.Atif
>
> CEYLAN
> Sent: Thursday, July 26, 2007 9:16 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Erdal YAZICIOGlU yazmış:
>
> Merhaba,
>
> SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> istedim...PHP ve Mysql kullanıyorum
>
> Kolay gele
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> kolay gelsin
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> --
> Ismail ASCI
>
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.2 (GNU/Linux)
>
> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
> =Xy4T
> -----END PGP PUBLIC KEY BLOCK-----
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama