[Linux-programlama] Re: SQL Injection

---------

New Message Reply About this list Date view Thread view Subject view Author view Attachment view

From: Ismail ASCI (ismail.asci@gmail.com)
Date: Thu 26 Jul 2007 - 09:47:20 EEST


Merhaba,
Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
göremiyorsanız kullanıcınız da göremez.
Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
yapabilirsiniz.
Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
durumdan kaçınmanız çok da gerekli değildir kanımca.
Kolay gelsin.

On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> Teşkkürler...
>
>
> Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan name
> tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca uygularız....
>
> Yani formda name = "password" Adam bunu view source yapıca görüyor...
> Bunu şöyle bir yazsak olur mu
> Form.php
> form action =action.php
> input type=text name=<?echo sha1('name');?> value=''
> /form
>
> action.php'de bunu nasıl eşleştirmk lazım...
>
> Yani adam view sourc ettiğinde benim name'leri görmsin..
>
> Nasış bir mantık yürütmek gerekir
>
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of M.Atif
> CEYLAN
> Sent: Thursday, July 26, 2007 9:16 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Erdal YAZICIOGlU yazmış:
> >
> > Merhaba,
> >
> > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > istedim...PHP ve Mysql kullanıyorum
> >
> > Kolay gele
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> kolay gelsin
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>

-- 
Ismail ASCI

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)

iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama


New Message Reply About this list Date view Thread view Subject view Author view Attachment view

---------

Bu arsiv hypermail 2.1.2 tarafindan uretilmistir.