[Linux-programlama] Re: SQL Injection

---------

New Message Reply About this list Date view Thread view Subject view Author view Attachment view

From: Erdal YAZICIOGlU (erdal.yazicioglu@gmail.com)
Date: Thu 26 Jul 2007 - 11:03:55 EEST


Bilgiler için çok teşekkürler. Olay kafamda biraz daha iyi canlandı.

Diyelim ki session'a yazdık. Sonuçta bu session'ı unset etmemiz gerekecek.
Yani ya adam sayfayı terk ettiğinde olacak bu iş yada belirli bir zaman
sonra değil mi? Yani ne biliyim 1 hafta sonra gibi.. Yanlış mıyım?

Erdal

-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
ASCI
Sent: Thursday, July 26, 2007 10:54 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection

On 7/26/07, Yılmaz ŞİPKA <bilgi@okyanusmedya.com.tr> wrote:
> Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
> kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
> ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
> mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.

Merhaba,
>
> Birde artık özellikle mail formlarında ikinci bir kontrol yapmak
gerekiyor.
> Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
> formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
> ediyorum ki dışarıdan bir şekilde mail gönderemesinler.

Sadece referrer_url'i kontrol etmek yeterli olmayabilir. Burada header
injection olayıda giriyor. Aynı şekilde e-posta formlarında da gelen
veriyi filtrelemeniz gerekiyor.

>
>
>
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Erdal
> YAZICIOGlU
> Sent: Thursday, July 26, 2007 10:31 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> İşte tamda ben bunu demek istemiştim...
>
> Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
> örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
> yapıyoruz..
>
> Örneğin üye kayıt formumuz...
> Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
> biri istediği kadar giriş yapabilir öyle değil mi?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 9:47 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> Merhaba,
> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
> göremiyorsanız kullanıcınız da göremez.
> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
> yapabilirsiniz.
> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
> durumdan kaçınmanız çok da gerekli değildir kanımca.
> Kolay gelsin.
>
>
> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
> > Teşkkürler...
> >
> >
> > Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
> name
> > tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca
uygularız....
> >
> > Yani formda name = "password" Adam bunu view source yapıca görüyor...
> > Bunu şöyle bir yazsak olur mu
> > Form.php
> > form action =action.php
> > input type=text name=<?echo sha1('name');?> value=''
> > /form
> >
> > action.php'de bunu nasıl eşleştirmk lazım...
> >
> > Yani adam view sourc ettiğinde benim name'leri görmsin..
> >
> > Nasış bir mantık yürütmek gerekir
> >
> >
> > Erdal
> >
> > -----Original Message-----
> > From: linux-programlama-bounces@liste.linux.org.tr
> > [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of
M.Atif
> > CEYLAN
> > Sent: Thursday, July 26, 2007 9:16 AM
> > To: linux-programlama@liste.linux.org.tr
> > Subject: [Linux-programlama] Re: SQL Injection
> >
> > Erdal YAZICIOGlU yazmış:
> > >
> > > Merhaba,
> > >
> > > SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
> > > İngilizce de olur. Google'da kaynaklar var ama size de danışmak
> > > istedim...PHP ve Mysql kullanıyorum
> > >
> > > Kolay gele
> > >
> > >
------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
> > işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
> > genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
> > tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
> > olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
> > kolay gelsin
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
>
>
> --
> Ismail ASCI
>
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.2.2 (GNU/Linux)
>
> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
> =Xy4T
> -----END PGP PUBLIC KEY BLOCK-----
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>

-- 
Ismail ASCI

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.2.2 (GNU/Linux)

iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8 vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM= =Xy4T -----END PGP PUBLIC KEY BLOCK----- _______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama

_______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama


New Message Reply About this list Date view Thread view Subject view Author view Attachment view

---------

Bu arsiv hypermail 2.1.2 tarafindan uretilmistir.