[Linux-programlama] Re: mysql_real_escape_string ve striptags yeterli mi?

---------

[Linux-programlama] Re: mysql_real_escape_string ve striptags yeterli mi?

From: veli akcakaya <v.akcakaya_at_gmail.com>
Date: Tue, 13 Jan 2009 21:42:47 +0200
Message-ID: <c13737cf0901131142x67e1bea4u8bb5750a77d8494e@mail.gmail.com>

Merhaba,
Bence uygulama içine kullanýlacak deðiþkenleri kullanmadan önce bir
filtreden geçirmek gerekli gibi görülmese bile bazen hayat kurtarabilir.
mysql_real_escape_string kulanmanýn yanýnda ben bir de preg_replace ile
gelen deðerleri temizlemenizi öneririm.

http://www.bt-tr.net/2009/01/php-ile-degisken-temizileme/ adresinde deðiþken
temizleme ile ilgili ufak bir iki örnek var.

Ýyi akþamlar.

2009/1/12 Elvin Þiriyev <elvin_at_siriyev.net>

> Þimdiye kadara sadece addslashes kullandým. zaten sqli bozacak olan sadece
> tek týrnak olayý (String deðerlerde) olduðu için bu yeterli oluyor
> zannedersem. Sayýsal deðerlerde $id = (int) $_GET['id']; veya $toplam =
> (float) $_GET['toplam']; gibi filtreyi kullanmanýz gerek. daha kolay ve
> güvenli iþlemler için
> MySQLi : http://www.php.net/manual/en/book.mysqli.php
>
> PS: bir çok veri tabaný yönetim nesneleri (classes) bu güvenliði sizin çin
> daha etkin yapabilir.
>
> 2009/1/11 Nuri AKMAN <nuriakman_at_gmail.com>
>
>> Arkadaþlar,
>>
>> $_POST veya $_GET ile aldýðým bir parametreyi SQL'de kullanmam ve ekrana
>> yazdýrmam gerekiyor.
>> Aþaðýdaki kadar iþlem hack yememek için sizce yeterli olur mu?
>>
>>
>> $_GET['bolumadi'] = *striptags*($_GET['bolumadi']);
>> echo $_GET['bolumadi'];
>> $SQL = sprintf("select * from xxx where yyy = '%s' order by 1", *
>> mysql_real_escape_string*( $_GET['bolumadi'] ));
>>
>> Selamlar,
>> Nuri AKMAN
>>
>> _______________________________________________
>> Linux-programlama mailing list
>> Linux-programlama_at_liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>
>>
>
>
> --
> Elvin Þiriyev
> http://siriyev.net
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama_at_liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> 

-- 
v e l i   a k ç a k a y a
-------------------------
(http://www.bt-tr.net)

_______________________________________________
Linux-programlama mailing list
Linux-programlama_at_liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
Received on Tue 13 Jan 2009 - 20:38:15 EET

---------

Bu arsiv hypermail 2.2.0 tarafindan uretilmistir.