eagle_one adlı üyeden alıntı: mesajı görüntüle
1- kullanıcı tarafından gelen tüm verileri filtreleyiniz. Kullanılabilecek bazı fonksiyonlar ; strip_tags, htmlspecialchars, addslashes fonksiyonları bunlardan bir kaçıdır.
sorguya giren değişkenlerde sadece mysql_real_escape_string() kullanmak yeterli midir? özel karakterleri escape etmek açısından.

eagle_one adlı üyeden alıntı: mesajı görüntüle
Ayrıca, ilk düşünüldüğünde saçma gelebilecek garip açıklarda mevcut. Örneğin formlarda direkt olarak $_SERVER['PHP_SELF'] kullanmayın. Bununla ilgili sitemde bir makale yazmıştım.
http://www.sametozden.com/Formlarda_...-sayfalar.html
bu açıkla sadece js kodu mu eklenebilir? server da çalışan bir kod eklenemedikten sonra nasıl bir güvenlik açığı oluşabilir?


eagle_one adlı üyeden alıntı: mesajı görüntüle
php ile yükleme(upload) işlerinde dikkatil olmak gerekiyor. Siz siz olun resim yükleme işlemlerinde resim tipini sadece getimagesize ile tespit etmeyin. Zamanında tecrübesizliğimle beraber acı bir deneyim yaşamıştım
getimagesize() ile tespit edince nasıl bir sorun oluşabilir? resim formatında olmayan bir dosyayı da resim dosyası olarak mı görür?