Etiketlenen üyelerin listesi

+ Yeni Konu aç
6 sonuçtan 1 ile 6 arası
Ağaç Şeklinde Aç1Beğeni
  • 1 gönderen Oracle

Konu: PHP - SQL Injection'a Karşı Basit Koruma

  1. #1
    #Leonidas - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    02.04.2019
    Yaş
    22
    Mesajlar
    51
    Mentioned
    2 Post(s)
    Tagged
    1 Thread(s)

    Standart PHP - SQL Injection'a Karşı Basit Koruma

    PHP script yazarken (frameworksuz veya PDO’suz bir projede) get/post datalarını işlemek için aşağıdaki kodların kullanılması önerilir. Bu sayede SQL injection saldırıların büyük bir bölümü elimine edilir. Tabiki bu yöntem tek başına yeterli değildir. Sunucu bazında ve site link yapısı bazında da birtakım önlemler almak mümkündür.
    Eğer sayı tipinde değerler dönmesini bekliyorsak;
    $id = (int) intval( trim($_GET["id"]) );

    Eğer metin tipinde değerler dönmesini bekliyorsak;
    $id = mysqli_real_escape_string( trim($_GET["id"]) );

  2. #2
    Oracle - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    23.03.2019
    Yer
    Kayseri
    Yaş
    30
    Mesajlar
    20
    Mentioned
    7 Post(s)
    Tagged
    4 Thread(s)

    Standart Cevap: PHP - SQL Injection'a Karşı Basit Koruma

    Alıntı #Leonidas Nickli Üyeden Alıntı Mesajı göster
    PHP script yazarken (frameworksuz veya PDO’suz bir projede) get/post datalarını işlemek için aşağıdaki kodların kullanılması önerilir. Bu sayede SQL injection saldırıların büyük bir bölümü elimine edilir. Tabiki bu yöntem tek başına yeterli değildir. Sunucu bazında ve site link yapısı bazında da birtakım önlemler almak mümkündür.
    Eğer sayı tipinde değerler dönmesini bekliyorsak;
    $id = (int) intval( trim($_GET["id"]) );

    Eğer metin tipinde değerler dönmesini bekliyorsak;
    $id = mysqli_real_escape_string( trim($_GET["id"]) );
    Gayet güzel bir konuya değinmişsiniz, ancak sorgu öncesi TextBox'a girilen karakter içerisinde 'And, Or vb..' sorgu türleri olup olmadığını kontrol edip sonra sorguya geçmekte ekstra bir önlem.

    Ek olarak PDO varken SQL kullanıp bu riski alan arkadaşlara da selamlar :)
    #Leonidas bunu beğendi.

  3. #3
    KaptaN - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    21.04.2019
    Yaş
    38
    Mesajlar
    4
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)

    Standart Cevap: PHP - SQL Injection'a Karşı Basit Koruma

    Proc kullanırsanız bu sorun olmaz

  4. #4
    Oracle - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    23.03.2019
    Yer
    Kayseri
    Yaş
    30
    Mesajlar
    20
    Mentioned
    7 Post(s)
    Tagged
    4 Thread(s)

    Standart Cevap: PHP - SQL Injection'a Karşı Basit Koruma

    Alıntı KaptaN Nickli Üyeden Alıntı Mesajı göster
    Proc kullanırsanız bu sorun olmaz
    Kaptan, bu bir sorun değil ayrıca prosedür ile injection arasında nasıl bir alaka var anlamadım?

  5. #5
    KaptaN - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    21.04.2019
    Yaş
    38
    Mesajlar
    4
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)

    Standart Cevap: PHP - SQL Injection'a Karşı Basit Koruma

    Proc kullanırsan ID leri gizlersin ve injection dan kurtulursun

  6. #6
    Oracle - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    23.03.2019
    Yer
    Kayseri
    Yaş
    30
    Mesajlar
    20
    Mentioned
    7 Post(s)
    Tagged
    4 Thread(s)

    Standart Cevap: PHP - SQL Injection'a Karşı Basit Koruma

    Alıntı KaptaN Nickli Üyeden Alıntı Mesajı göster
    Proc kullanırsan ID leri gizlersin ve injection dan kurtulursun
    ID gizlemek ile de alakası yok bu konunun, çok yanlış anladınız olayı.

    • ID gizlerseniz session alamazsınız,
    • injection; veritabanına gönderilmek istenen sorgunun soruna AND, or vb.. şeyler eklenir çok kompleks bir düzen değil,
    • Çözümü aslında basit, hatta günümüzde tartışılmaması bile gerekiyor. (injection yiyen yazılımcı bu işi yapmasın lütfen.)


    Özetle, analizleriniz alakasız üstadım, bu konuda biraz pratik yapın derim, örnek SQL ile bir form yapıp hacklemeye çalışın ve sonuçlarını göreceksiniz.
    Konu Oracle tarafından (04-21-19 Saat 18:15 ) değiştirilmiştir.

+ Yeni Konu aç

Konu Bilgileri

Users Browsing this Thread

Şu an 1 kullanıcı var. (0 üye ve 1 konuk)

Bu Konudaki Etiketler

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok
  •  
Uyarı
Sitemiz bir " paylaşım " sitesidir. Bu yüzden sitemize kayıt olan herkes kontrol edilmeksizin mesaj/konu/resim paylaşabilmektedir. Bu sebepten ötürü, sitemiz üzerinden paylaşılan mesajlar, konular ve resimlerden doğabilecek olan yasal sorumluluklar paylaşan kullanıcıya aittir. ForumIrc.Net hiçbir yasal sorumluluk kabul etmemektedir. Illegal herhangi bir faaliyet görülmesi durumunda iletişim sayfası üzerinden ulaşıldığı taktirde mesaj, konu ya da resim en fazla 24 saat içerisinde silinecektir.
sohbet muhabbet
SOSYAL MEDYA