From: Erdal YAZICIOGlU (erdal.yazicioglu@gmail.com)
Date: Thu 26 Jul 2007 - 11:52:09 EEST
Web sitesinden indirmeye çalıştım ancak dosya bozuk. Acaba özel mail
adresime atabilirmisiniz? erdal.yazicioglu@gmail.com
_____
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Remzi
Düzağaç
Sent: Thursday, July 26, 2007 11:27 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
php frame worklerin çou sql injectiona otomatik koruma sağlıyor
www.codeigniter.com benim kullandığım frame work gayet kullanışlı
On 7/26/07, serdar güler < e141598@metu.edu.tr <mailto:e141598@metu.edu.tr>
> wrote:
Değişik bir bakış açısı olarak:
pythonla beraber SQLObject kullanıyorum, kendi otomatik query builder ı var
ve bunu kullanmak SQL Injection a karşı bir koruma sağlıyor kendiliğinden.
Genel olarak bu tarz konularda framework lerin çok yararlı olduğu
kanısındayım. Php de böyle bir framework var mıdır bilmiyorum gerçi.
Erdal YAZICIOGlU wrote:
Bilgiler için çok teşekkürler. Olay kafamda biraz daha iyi canlandı.
Diyelim ki session'a yazdık. Sonuçta bu session'ı unset etmemiz gerekecek.
Yani ya adam sayfayı terk ettiğinde olacak bu iş yada belirli bir zaman
sonra değil mi? Yani ne biliyim 1 hafta sonra gibi.. Yanlış mıyım?
Erdal
-----Original Message-----
From: <mailto:linux-programlama-bounces@liste.linux.org.tr>
linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr
] On Behalf Of Ismail
ASCI
Sent: Thursday, July 26, 2007 10:54 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
On 7/26/07, Yılmaz ŞİPKA <mailto:bilgi@okyanusmedya.com.tr>
<bilgi@okyanusmedya.com.tr>
wrote:
Eğer birinin arka arkaya forma giriş yapmasını önlemek istiyorsan,
kullanıcının cookie'sine yada session'na forma giriş yaptığı zamanı yazıp
ikinci giriş yapmak istediğinde bunu kontrol edebilirsin. Session daha
mantıklı, coockie yi belki değiştirebilir ama session a müdahale edemez.
Merhaba,
Birde artık özellikle mail formlarında ikinci bir kontrol yapmak
gerekiyor.
Çünkü mail spam programlarına bazı formları da ekliyorlar ve mail
formlarıyla spam yapıyorlar. Mail formlarında referrer_url yi kontrol
ediyorum ki dışarıdan bir şekilde mail gönderemesinler.
Sadece referrer_url'i kontrol etmek yeterli olmayabilir. Burada header
injection olayıda giriyor. Aynı şekilde e-posta formlarında da gelen
veriyi filtrelemeniz gerekiyor.
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Erdal
YAZICIOGlU
Sent: Thursday, July 26, 2007 10:31 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
İşte tamda ben bunu demek istemiştim...
Güvenlik derken nelere dikkat etmek gerekir. Yani formdan gelen bilgileri
örneğin form daki name i değiştirdik ve ve PHP de eşleştirdik ve insert
yapıyoruz..
Örneğin üye kayıt formumuz...
Bunuradaki eşlemeleri yapsak bile bu formun kendi local makinesinden koşan
biri istediği kadar giriş yapabilir öyle değil mi?
Erdal
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[ <mailto:linux-programlama-bounces@liste.linux.org.tr>
mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of Ismail
ASCI
Sent: Thursday, July 26, 2007 9:47 AM
To: <mailto:linux-programlama@liste.linux.org.tr>
linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
Merhaba,
Böyle bir mantık sözkonusu değil. Bir html verinin kaynağını
göremiyorsanız kullanıcınız da göremez.
Siz burada -yanlış anlamadıysam- kullanıcılarınızın, veritabanınızın
yapısı hakkında fikir sahibi olamamalarını istiyorsunuz. Html
elementlerinizin "name" değerlerini bir algoritma ile karıştırmanıza
gerek yok. Farklı isimler verip php üzerinde karşılaştırmalar
yapabilirsiniz.
Ama şunu da belirteyim. Uygulamanız yeterince güvenli tasarlandıysa bu
durumdan kaçınmanız çok da gerekli değildir kanımca.
Kolay gelsin.
On 7/26/07, Erdal YAZICIOGlU <mailto:erdal.yazicioglu@gmail.com>
<mailto:erdal.yazicioglu@gmail.com> <erdal.yazicioglu@gmail.com> wrote:
Teşkkürler...
Select komutu için böyle.Peki insert için nasıl olmalı? Formda bulunan
name
tipleri hashlemek mi gerekir. Buradaki nasıl bir aldatmaca
uygularız....
Yani formda name = "password" Adam bunu view source yapıca görüyor...
Bunu şöyle bir yazsak olur mu
Form.php
form action =action.php
input type=text name=<?echo sha1('name');?> value=''
/form
action.php'de bunu nasıl eşleştirmk lazım...
Yani adam view sourc ettiğinde benim name'leri görmsin..
Nasış bir mantık yürütmek gerekir
Erdal
-----Original Message-----
From: linux-programlama-bounces@liste.linux.org.tr
[ <mailto:linux-programlama-bounces@liste.linux.org.tr>
mailto:linux-programlama-bounces@liste.linux.org.tr] On Behalf Of
M.Atif
CEYLAN
Sent: Thursday, July 26, 2007 9:16 AM
To: linux-programlama@liste.linux.org.tr
Subject: [Linux-programlama] Re: SQL Injection
Erdal YAZICIOGlU yazmış:
Merhaba,
SQL Injection dan korunma yönlerini anlatan bir kaynak biliyormusun..
İngilizce de olur. Google'da kaynaklar var ama size de danışmak
istedim...PHP ve Mysql kullanıyorum
Kolay gele
------------------------------------------------------------------------
_______________________________________________
Linux-programlama mailing list
<mailto:Linux-programlama@liste.linux.org.tr>
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
eğer mysql kullanıyorsanız $str = mysql_real_escape($inputstring)
işinizi görür. zaten tırnaklarla ve \ karakteri ile ilgili oluyor sorun
genelde. bunlar için bir string replace fonksiyonu yazabilirsiniz.
tırnaklara bağlı olarak union select or gibi sql ifadeleride zararlı
olur ancak sqli tırnaklarla kırmadan bu mümkün değil.
kolay gelsin
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
<http://liste.linux.org.tr/mailman/listinfo/linux-programlama>
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________
Linux-programlama mailing list
<mailto:Linux-programlama@liste.linux.org.tr>
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
--Ismail ASCI
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iFQEIBECABQFAkRIDJMNHQBiYWNrdXAgY29weQAKCRBgYvyi4RxNdcnIAJ9vweb8
vUH9m3a2aQHyAfeo0oJtlACfQiqcbHvdBtrxylRh42G2xea7gFM=
=Xy4T
-----END PGP PUBLIC KEY BLOCK-----
_______________________________________________
Linux-programlama mailing list
<mailto:Linux-programlama@liste.linux.org.tr> Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________
Linux-programlama mailing list
<mailto:Linux-programlama@liste.linux.org.tr> Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________
Linux-programlama mailing list
<mailto:Linux-programlama@liste.linux.org.tr> Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________ Linux-programlama mailing list Linux-programlama@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-programlama
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama