From: Ali Okan YÜKSEL (kaox.gen@gmail.com)
Date: Thu 26 Jul 2007 - 10:15:41 EEST
http://www.knyksl.com/inc/tr_dok.php?id=11
On 7/26/07, Ismail ASCI <ismail.asci@gmail.com> wrote:
>
> Merhaba,
> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
> göremiyorsanız kullanıcınız da göremez.
> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
> yapabilirsiniz.
> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
> durumdan kaçınmanız çok da gerekli değildir kanımca.
> Kolay gelsin.
>
>
> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> > Teşkkürler...
> >
> >
> > Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
> name
> > tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca
> uygularız....
> >
> > Yani formda name = "password" Adam bunu view source yapıca görüyor...
> > Bunu şöyle bir yazsak olur mu
> > Form.php
> > form action =action.php
> > input type=text name=<?echo sha1('name');?> value=''
> > /form
> >
> > action.php'de bunu nasıl eşleştirmk lazım...
> >
> > Yani adam view sourc ettiğinde benim name'leri görmsin..
> >
> > Nasış bir mantık yürütmek gerekir
> >
> >
> > Erdal
> >
> > -----Original Message-----
> > From: linux-programlama-bounces@liste.linux.org.tr
> > [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of
> M.Atif
> > CEYLAN
> > Sent: Thursday, July 26, 2007 9:16 AM
> > To: linux-programlama@liste.linux.org.tr
> > Subject: [Linux-programlama] Re: SQL Injection
> >
> > Erdal YAZICIOGlU yazmış:
> > >
> > > Merhaba,
> > >
> > > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > > istedim...PHP ve Mysql kullanıyorum
> > >
> > > Kolay gele
> > >
> > >
> ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> > işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> > genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> > tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> > olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> > kolay gelsin
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
>
>
> --
> Ismail ASCI
>
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.2 (GNU/Linux)
>
> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
> =Xy4T
> -----END PGP PUBLIC KEY BLOCK-----
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
-- http://www.knyksl.com/
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama