Bahsettiğin fonksiyon sql sorqularında işe yarar. XSS açıklarını engellemek için yukarıdaki fonksiyonları kullanabilirsin. Bunun için yazılmış fonksiyonlar vs bulabilirsin.
Yukarıda da dediğim gibi XSS açığına sebep olur. Bu açığı nette biraz araştırmanı tavsiye ederim.
anladığım kadarıyla bu şekilde hazırlanmış bir linki başkasına yedirirsek, yani tıklamasını sağlarsak açık oluşuyor. cookie leri okutmak gibi.
Sadece getimagesize ile kontrol yaparsan php uzantılı bir kodun ilk satırına GIF89a; kısmını koyarak sunucuya bu dosyayı .gif dosyası gibi gösterebilirsin. sdemirkeserin dediği gibi dosya uzantılarını kontrol ederek, ve yukarıda dediğim gibi dosyayı ikillik açıp içinde mysql, javascript, <?php , gibi zarar meydana getirebilecek kodları aratabilirsin.
denedim ve işte sonuçlar;
-php dosyasının başına
GIF89a; ekledim ama uzantısını php olarak bıraktım. getimagesize() hiçbirşey döndürmedi. ben buradan dönen değeri if..else soktuğum için bir sorun oluşturmaz
-aynı dosyanın uzantısını gif yaptım. getimagesize() gif zannetti. ama bu seferde server da php compiler tarafından bir işleme girmeyeceği için yine bir güvenlik açığı oluşturmaz.
zararlı kodlar içeren bir dosyayı nasıl resim olarak gösterip, sonra da server tarafından php dosyası olarak işlenmesi sağlanır?
not: bu soruları gerçekten öğrenmek için soruyorum, ukalalık gibi algılanmasın. yeni bir script kodluyorum ondan merak saldım.