Öncellikle Herkese merhabalar ;
Siteye üye olmam ile birlikte siz değerli arkadaşlarıma pHp ve Mysql Güvenliği hakkında yapmış olduğum araştırmaların derlenmiş halini sunmak istedim.
Ozaman Konumuza Giriş - Gelişme - Sonuç olarak Başlayalım 
Öncellikle pHp ve mySQL güvenliği hakkında kısa bir tanım yapalım.
Nedir Bu Güvenlik ?
Yaptığımız Web Siteleri Saldırıya uğrayabilir ve uğradıkları saldılar yüzünden başımıza türlüce dertler gelebilir. Basit bir kaç olay kurgulayalım.
Büyük şirketler ile çalışan arkadaşlar bilirler. Şirketler data güvenliklerine çok önem verirler. Yazdığımız bir script yüzünden datalarının çalınması şirkete prestij ve para kaybı olarak geri döner. Genel olarak şirketler Yazılımcıyı sorumlu tutarlar ve işin açıkcası haklılardır.
Öncellikle Seviyelerine göre pHp ve SQL 'de meydana gelecek açıkları sınıflandıralım.
- Basit Açıklar
Basit Açıklar adına aldanmayın . unutmayınki kullanılması bilindiği taktirde her açık kısmi zararlar verir.
Bir $_GET yada $_POST isteğini düşünebiliriz. Biz bu isteklerde Html yollanan veriyi temizlemessek. Bize bir çok sıkıntı yaratabilir
ilk aklınıza gelenlerden biri YÖNLENDİRME olmasın Bu düşünce mantığı kalıptır ve yanlıştır ! Brute/force attackları ile Şifreniz bulunabilir Peki ya Gizlediğiniz paneliniz ?
Eğer iletişim bilgilerini sql 'e kaydediyor ve sql'e kaydettiniz verileri filtrelemden çekiyorsaniz. Sizin için büyük bir sıkıntı olacaktır. çünkü javascriptin çalişması ile admin paneli yolunuz bulanabilir - Orta Seviye Açıklar
Örneğin Kök dizinden $_GET isteği ile (index.php?istek=sayfa) dosya çektinizi düşünelim
include('$_GET[sayfa].php'); // 'sayfa.php'
Dosyanın olup olmadığını kontrol etmezsek $_GET metodu ile herhangi bir dizindeki herhangi bir dosyada çekilebilir
index.php index.php?istek=/../../etc/passwd
include('/../../etc/passwd');
yada aynı yontemin farklı kullanısını anlatalım ayni serverdan site sahibisiniz ( Bilen arkadaşlar e ozaman neden siteyle uğraşayım diyecektir 2013 - 2012 ve bir çok büyük serverda artık serverlar bypass edilebiliyor. Hedef sitenin datası almak dahada zorlaşıyor)
Sahip olduğunuz aynı hostingdeki zararlı dosyayı buraya çağırabilirsiniz cpanel kullanılan bir hostindeki adımız benimsitem olsun zararlı dosyanın adıda zararlidosya.php olsun
Dosya yolumuz: /home/benimsitem/public_html/zararlidosya.php
Eğer biz az once /../../etc/passwd yazdığımız yere index.php?istek= /home/benimsitem/public_html/zararlidosya.php
yazarsak bu zararli dosyayi hedefsite yetkisinde çalıştırmış olacağız. buda data ve script güvenliğinizi tehlikeye atacaktır. - Kritik seviye açıklar
Kritik Seviye açıklar Tek bir yöntemle datalarınızı serverınızı scriptinizi ele geçirmeye yarar şimdi bunu açıklarken zarar sahip olduğunuz herşey gibi bir tanım yapmak daha düzgün olacaktır.
Çünkü Makinede bir nevi root yetkisi bile elde edilebilir.
Örneğin Bir Sql sorgusu yazıyorsunuz.
Yazacağınız SQL sorgusu Kullanıcı girişi olsun
WHERE kad= $deger AND sifre = $deger;
Eğer burda Bir veri filtremesi yapmassanız SQL 'e kod dahil edilebilir örneğin Sifre degerine 5 or 1=1 yazıldığını düşünelim gelicek olan çıktı söyle olacaktır.
WHERE kad= kullaniciadi AND sifre = 5 or 1=1 ;
1 herzaman 1 e eşit olacağı için kullanıcı adı ve şifre kısmı aşılacak doğal olarakta sisteminize giriş yapılıcaktır verdiğiniz yetkiye göre bıraktığınız diğer açıklara göre filtresiz UPLOAD vb sisteme erişim sağlanacaktır.
Bu yapılan hata login sayfasinda olabileceği gibi get methodunda da olabilir.
Arkadaşlarım Bu makaleyi saat 04:55 'te hazırladım hatalarım olabilir bulduğunuz hataları belirtirseniz düzenlem yapacağımdır
Unutmayın Bilgi tekelde asla olamaz bilgi paylaşıldıkça çoğalır.
Bölüm 2 de neler olacaktır ?
Yarından itibaren video çekimlerine başlayacağım. ilk bölümde sizlere açık sınıflandırmalarını anlatmaya çalıstım Tek bir döküman ve makale üzerine gitmeyeceğim sadece yazı okumak sizleri sıkacağı için görsel videolu setler ile anlatımlarda yapacağım.
Bölüm 2 de ise
Basit açıkları ve basit açıklara karşı alınabilecek güvenlik önlemlerini anlatmaya çalışacağım.
PS:
İnternetim yavaş olduğu için video çekimi düzenlemesi ve uploadı uzun sürebilir. bu yüzden minumum 1 maximum 2.5 gün bölüm 2 için bekleteceğim bu sırada Aklınıza takılan soruları cevaplamaya çalısacağım.