From: Ismail ASCI (ismail.asci@gmail.com)
Date: Thu 26 Jul 2007 - 10:54:15 EEST
On 7/26/07, Yılmaz ŞİPKA <bilgi@okyanusmedya.com.tr> wrote:
> Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
> kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
> ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
> mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.
Merhaba,
>
> Birde artık özellikle mail formlarında ikinci bir kontrol yapmak gerekiyor.
> Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
> formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
> ediyorum ki dışarıdan bir şekilde mail gönderemesinler.
Sadece referrer_url'i kontrol etmek yeterli olmayabilir. Burada header
injection olayıda giriyor. Aynı şekilde e-posta formlarında da gelen
veriyi filtrelemeniz gerekiyor.
>
>
>
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Erdal
> YAZICIOGlU
> Sent: Thursday, July 26, 2007 10:31 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> İşte tamda ben bunu demek istemiştim...
>
> Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
> örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
> yapıyoruz..
>
> Örneğin üye kayıt formumuz...
> Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
> biri istediği kadar giriş yapabilir öyle değil mi?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 9:47 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Merhaba,
> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
> göremiyorsanız kullanıcınız da göremez.
> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
> yapabilirsiniz.
> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
> durumdan kaçınmanız çok da gerekli değildir kanımca.
> Kolay gelsin.
>
>
> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> > Teşkkürler...
> >
> >
> > Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
> name
> > tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca uygularız....
> >
> > Yani formda name = "password" Adam bunu view source yapıca görüyor...
> > Bunu şöyle bir yazsak olur mu
> > Form.php
> > form action =action.php
> > input type=text name=<?echo sha1('name');?> value=''
> > /form
> >
> > action.php'de bunu nasıl eşleştirmk lazım...
> >
> > Yani adam view sourc ettiğinde benim name'leri görmsin..
> >
> > Nasış bir mantık yürütmek gerekir
> >
> >
> > Erdal
> >
> > -----Original Message-----
> > From: linux-programlama-bounces@liste.linux.org.tr
> > [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of M.Atif
> > CEYLAN
> > Sent: Thursday, July 26, 2007 9:16 AM
> > To: linux-programlama@liste.linux.org.tr
> > Subject: [Linux-programlama] Re: SQL Injection
> >
> > Erdal YAZICIOGlU yazmış:
> > >
> > > Merhaba,
> > >
> > > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > > istedim...PHP ve Mysql kullanıyorum
> > >
> > > Kolay gele
> > >
> > > ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> > işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> > genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> > tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> > olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> > kolay gelsin
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
>
>
> --
> Ismail ASCI
>
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.2 (GNU/Linux)
>
> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
> =Xy4T
> -----END PGP PUBLIC KEY BLOCK-----
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
-- Ismail ASCI-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)
iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama