Anasayfa İletişim RSS
 
Şimdi Üye Ol | Şifremi Unuttum
 
Anasayfa » PHP & MySQL (143 ders)
 
Php'de Sql Injection'a Karşı Savunma
Yazar: M. Çağdaş Saygılı  
Eklenme: 15.09.2008   Okunma: 421    Puan: 5   Seviyesi:  Başlangıç
Sql Injection' a karşı sisteminizi güçlendirme yollarını ele alalım.

Herkezin bildiği gibi form verilerinde oynama yaparak sisteme sızmaya sql injection diyoruz. Sistemlerin güvenliğinden sorumlu olan kişiler genelli sistemin zayıflıklarını kendileri test eder ve bazen bazı noktaları atlarlar. Genelde atladıkları nokta budur. Programcı'nın bilgisinin eksikliğinden ya da dikkatsizliğinden kaynaklanan bu hata geçmişte birçok sistemin çökertilmesine neden olmuştur.

Bilinen belli başlık sql injection yapılmamasını sağlayacak kodlar arasında;


      <?php 
       $text = "yaz' or 'a'='a "; 
      $new_text = str_replace(array('/','#','admin','or','=','and','-','(',')','[',']','|','&amp;amp;amp;amp;amp;',' '),"",$text); 
      echo $new_text; 
      ?>
 
  • Currently 5.00/5
Değelendirmek için üye girişi yapmanız gerekmektedir
 EkleBunu Sosyal Paylam Butonu
Php'de Sql Injection'a Karşı Savunma Dersini Yazdırın

"Php'de Sql Injection'a Karşı Savunma" dersi için 9 yorum var

16.09.2008 plantium diyor ki:
arasında? eksik kalmış sanırım?

16.09.2008 Quadim diyor ki:
Evet kod dizisinden sonra mevcuttur diyip noktalamam gerekiyordu. Dikkatsizliğime gelmiş.Birde bu şekilde bir kod kullanılabilir.

[code]
function secure($data) {
$data = addslashes(mysql_escape_string($data));
return $data;
}
[code]
Sonrasında aldığımız tüm verileri secure function'ından geçirerek sql injection a karşı önlem alabiliriz.

16.09.2008 remoter diyor ki:
Peki Biz Bunu ust.php ye include =("sql.php"); olarak mı göstericez yoksa host kendisimi tanıyor ?

17.09.2008 Quadim diyor ki:
db.php ye function olarak tanımlayabilirsin. Sonrasında da form verilerini ;

$cagdas=secure($_POST[cagdas]);

olarak düzenlemen gerekir.

20.09.2008 plantium diyor ki:
addslashes kullanarak yorumda verdiğiniz kod yeterli sanırım. teşekkürler.

23.09.2008 Gncytnk diyor ki:
"addslashes" bu kodu dün kursta özel bi phpci arkadaşimiz anlatmıştı..

bize verdiği örnek şu şekil sadece arama textboxlarda değil..

formlardada get ve post methodlarındada dikkat etmemiz gerekiyor..

çok teşekkürler..

23.09.2008 ScHiZoO diyor ki:
Yahu çağdaşı yormayın
bence onun sölemek istediği;

Sql dizisi içinde input olarak aşagıdakiler bulunmamalıdır. gerisi size kalmıs nerede sql ile sorgu yapıyorsanız orada bu karakterlerin girişine izin vermemelisiniz. Kısacası bu web bileşenleri olan bişey olmak zorunda değil php olması hiç şart değil. get yada post olmasıda sart değil.

'/','#','admin','or','=','and','-','(',')','[',']','|','&amp;amp;amp;amp;amp;',' '

23.09.2008 Quadim diyor ki:
=) Gncytnk sadece post ya da get kontrolleride değil. Daha döndürülen tüm sorgular ya sql den çekilen veriler. İd lerin md5 ile sifrelenmesi ya id yerine karekter bazlı rakkamların kullanılması (alt+sayı kombineleri) bunları kontrol etmek gerekir. Sadece sql injection için bilinen ve etkili yollardan 2 tanesi yazıyor yukarıda ama dediklerinde haklısın.

ScGiZoO evet sağol. Olayın tam olarak özü budur. =)

09.10.2008 Caner_Wiena diyor ki:
biz bu kodu nasil kulanacaz ve nasil kayip edip nereye ekleyecegiz

Üye olmadan yorum ekleyemezsiniz !

UYARI: SANALKURS'ta yer alan materyaller ile ilgili her türlü sorumluluk hazırlayan veya gönderene aittir. SANALKURS'ta yer alan hiçbir makale, yazarından izinsiz başka bir yerde yayınlanamaz. SANALKURS kullanıcıları ve üyeleri, üçüncü kişilerin telif hakkı sahibi bulunduğu her türlü fikri eser, fotoğraf, resim vb. materyal ve ürünleri kullanamazlar. SANALKURS kullanıcı ve yazarlarının, üçüncü kişilerin telif hakkı sahibi olduğu yazı, resim vb. ürünleri kullanması durumunda, her türlü hukuki ve cezai sorumluluk kendilerine aittir. Söz konusu haksız kullanım nedeniyle SANALKURS .NET'in hiçbir hukuki sorumluluğu bulunmamakta olup, haksız kullanım nedeniyle SANALKURS.NET'in üçüncü kişilere ödemek zorunda kalabileceği her türlü tazminat ve/veya adli/idari para cezaları ilgili Sanalkurs kullanıcılarından rücu edilecektir.
 İSTATİSTİKLER
XML Kaynağımızdan yararlanarak sitemizdeki derslerimizi masaüstünüzden yada web sitenizden takip edebilirsiniz
 ÇEVRİMİÇİ 172 Ziyaretçi, 21 Üye
demir.demir, erengul, baser_87, SerSeri, denokutu, Microsoft, Evcil_71, zaferg, kusursuz, femin, Serkan KÖSE, Murat Korkmaz, kemalkocak1, seheryeli_53, alanwake, arastirmaci, grafikel, tarhan72, sevimgüven, Necati Özden, pavillion
BUGÜN DOĞUM GÜNÜ OLAN ÜYEMİZ:
elcins (19)
Bugün: 6172, Dün: 6596, Bu Ay: 25071, Toplam Ziyaret: 1882074, Toplam Üye: 133012, Son Üye: Evcil_71
Toplam Ders: 2011, Toplam Yazar: 45, Toplam Dosya: 34, Toplam Link: 55
   
RSS Kaynağımızdan yararlanarak sitemizdeki derslerimizi masaüstünüzden yada web sitenizden takip edebilirsiniz