From: serdar güler (e141598@metu.edu.tr)
Date: Thu 26 Jul 2007 - 11:22:30 EEST
Değişik bir bakış açısı olarak:
pythonla beraber SQLObject kullanıyorum, kendi otomatik query builder ı
var ve bunu kullanmak SQL Injection a karşı bir koruma sağlıyor
kendiliğinden.
Genel olarak bu tarz konularda framework lerin çok yararlı olduğu
kanısındayım. Php de böyle bir framework var mıdır bilmiyorum gerçi.
Erdal YAZICIOGlU wrote:
> Bilgiler için çok teşekkürler. Olay kafamda biraz daha iyi canlandı.
>
> Diyelim ki session'a yazdık. Sonuçta bu session'ı unset etmemiz gerekecek.
> Yani ya adam sayfayı terk ettiğinde olacak bu iş yada belirli bir zaman
> sonra değil mi? Yani ne biliyim 1 hafta sonra gibi.. Yanlış mıyım?
>
> Erdal
>
> -----Original Message-----
> From: linux-programlama-bounces@liste.linux.org.tr
> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
> ASCI
> Sent: Thursday, July 26, 2007 10:54 AM
> To: linux-programlama@liste.linux.org.tr
> Subject: [Linux-programlama] Re: SQL Injection
>
> On 7/26/07, Yılmaz ŞİPKA <bilgi@okyanusmedya.com.tr> wrote:
>
>> Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
>> kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
>> ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
>> mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.
>>
>
> Merhaba,
>
>> Birde artık özellikle mail formlarında ikinci bir kontrol yapmak
>>
> gerekiyor.
>
>> Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
>> formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
>> ediyorum ki dışarıdan bir şekilde mail gönderemesinler.
>>
>
> Sadece referrer_url'i kontrol etmek yeterli olmayabilir. Burada header
> injection olayıda giriyor. Aynı şekilde e-posta formlarında da gelen
> veriyi filtrelemeniz gerekiyor.
>
>
>>
>>
>> -----Original Message-----
>> From: linux-programlama-bounces@liste.linux.org.tr
>> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Erdal
>> YAZICIOGlU
>> Sent: Thursday, July 26, 2007 10:31 AM
>> To: linux-programlama@liste.linux.org.tr
>> Subject: [Linux-programlama] Re: SQL Injection
>>
>> İşte tamda ben bunu demek istemiştim...
>>
>> Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
>> örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
>> yapıyoruz..
>>
>> Örneğin üye kayıt formumuz...
>> Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
>> biri istediği kadar giriş yapabilir öyle değil mi?
>>
>> Erdal
>>
>> -----Original Message-----
>> From: linux-programlama-bounces@liste.linux.org.tr
>> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
>> ASCI
>> Sent: Thursday, July 26, 2007 9:47 AM
>> To: linux-programlama@liste.linux.org.tr
>> Subject: [Linux-programlama] Re: SQL Injection
>>
>> Merhaba,
>> Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
>> göremiyorsanız kullanıcınız da göremez.
>> Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
>> yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
>> elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
>> gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
>> yapabilirsiniz.
>> Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
>> durumdan kaçınmanız çok da gerekli değildir kanımca.
>> Kolay gelsin.
>>
>>
>> On 7/26/07, Erdal YAZICIOGlU <erdal.yazicioglu@gmail.com> wrote:
>>
>>> Teşkkürler...
>>>
>>>
>>> Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
>>>
>> name
>>
>>> tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca
>>>
> uygularız....
>
>>> Yani formda name = "password" Adam bunu view source yapıca görüyor...
>>> Bunu şöyle bir yazsak olur mu
>>> Form.php
>>> form action =action.php
>>> input type=text name=<?echo sha1('name');?> value=''
>>> /form
>>>
>>> action.php'de bunu nasıl eşleştirmk lazım...
>>>
>>> Yani adam view sourc ettiğinde benim name'leri görmsin..
>>>
>>> Nasış bir mantık yürütmek gerekir
>>>
>>>
>>> Erdal
>>>
>>> -----Original Message-----
>>> From: linux-programlama-bounces@liste.linux.org.tr
>>> [mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of
>>>
> M.Atif
>
>>> CEYLAN
>>> Sent: Thursday, July 26, 2007 9:16 AM
>>> To: linux-programlama@liste.linux.org.tr
>>> Subject: [Linux-programlama] Re: SQL Injection
>>>
>>> Erdal YAZICIOGlU yazmış:
>>>
>>>> Merhaba,
>>>>
>>>> SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
>>>> İngilizce de olur. Google'da kaynaklar var ama size de danışmak
>>>> istedim...PHP ve Mysql kullanıyorum
>>>>
>>>> Kolay gele
>>>>
>>>>
>>>>
> ------------------------------------------------------------------------
>
>>>> _______________________________________________
>>>> Linux-programlama mailing list
>>>> Linux-programlama@liste.linux.org.tr
>>>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>>>
>>>>
>>> eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
>>> işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
>>> genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
>>> tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
>>> olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
>>> kolay gelsin
>>> _______________________________________________
>>> Linux-programlama mailing list
>>> Linux-programlama@liste.linux.org.tr
>>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>>
>>> _______________________________________________
>>> Linux-programlama mailing list
>>> Linux-programlama@liste.linux.org.tr
>>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>>
>>>
>> --
>> Ismail ASCI
>>
>> -----BEGIN PGP PUBLIC KEY BLOCK-----
>> Version: GnuPG v1.4.2.2 (GNU/Linux)
>>
>> iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
>> vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
>> =Xy4T
>> -----END PGP PUBLIC KEY BLOCK-----
>> _______________________________________________
>> Linux-programlama mailing list
>> Linux-programlama@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>
>> _______________________________________________
>> Linux-programlama mailing list
>> Linux-programlama@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>
>> _______________________________________________
>> Linux-programlama mailing list
>> Linux-programlama@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>>
>>
>
>
>
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama