From: Erdal YAZICIOGlU (erdal.yazicioglu@gmail.com)
Date: Thu 26 Jul 2007 - 10:31:03 EEST
Ýþte tamda ben bunu demek istemiþtim...
Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
örneðin form daki name i deðiþtirdik ve ve PHP de eþleþtirdik ve insert
yapýyoruz..
Örneðin üye kayýt formumuz...
Bunuradaki eþlemeleri yapsak bile bu formun kendi local makinesinden koþan
biri istediði kadar giriþ yapabilir öyle deðil mi?
Erdal
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
ASCI
Sent: Thursday, July 26, 2007 9:47 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
Merhaba,
Böyle bir mantýk sözkonusu deðil. Bir html verinin kaynaðýný
göremiyorsanýz kullanýcýnýz da göremez.
Siz burada -yanlýþ anlamadýysam- kullanýcýlarýnýzýn, veritabanýnýzýn
yapýsý hakkýnda fikir sahibi olamamalarýný istiyorsunuz. Html
elementlerinizin "name" deðerlerini bir algoritma ile karýþtýrmanýza
gerek yok. Farklý isimler verip php üzerinde karþýlaþtýrmalar
yapabilirsiniz.
Ama þunu da belirteyim. Uygulamanýz yeterince güvenli tasarlandýysa bu
durumdan kaçýnmanýz çok da gerekli deðildir kanýmca.
Kolay gelsin.
On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> Teþkkürler...
>
>
> Select komutu için böyle.Peki insert için nasýl olmalý? Formda bulunan
name
> tipleri hashlemek mi gerekir. Buradaki nasýl bir aldatmaca uygularýz....
>
> Yani formda name = "password" Adam bunu view source yapýca görüyor...
> Bunu þöyle bir yazsak olur mu
> Form.php
> form action =action.php
> input type=text name=<?echo sha1('name');?> value=''
> /form
>
> action.php'de bunu nasýl eþleþtirmk lazým...
>
> Yani adam view sourc ettiðinde benim name'leri görmsin..
>
> Nasýþ bir mantýk yürütmek gerekir
>
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of M.Atif
> CEYLAN
> Sent: Thursday, July 26, 2007 9:16 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Erdal YAZICIOGlU yazmýþ:
> >
> > Merhaba,
> >
> > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > Ýngilizce de olur. Google'da kaynaklar var ama size de danýþmak
> > istedim...PHP ve Mysql kullanýyorum
> >
> > Kolay gele
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> eðer mysql kullanýyorsanýz $str = mysql_real_escape($inputstring)
> iþinizi görür. zaten týrnaklarla ve \ karakteri ile ilgili oluyor sorun
> genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> týrnaklara baðlý olarak union select or gibi sql ifadeleride zararlý
> olur ancak sqli týrnaklarla kýrmadan bu mümkün deðil.
> kolay gelsin
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
-- Ismail ASCI-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)
iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama