php emlak sitesi açıkların kontrolü

evet arkadaşlar havij programından bahsediyorum bununla tarattığmda sql injection açıklarını buluyor ve ben bi kaç işlemden sonra bu açıkları kapattım fakat program sql injection açığınla bulamıyor fakat database bulma yöntemiyle database e ulaşıyor fakat bunu nereden alıyor hala çözemedim config dosyamda şifreleme sistemi kullandım. Fakat Dedefon arkadaşın dediği gibi seo uyumlu link e çevirmem daha yararlı olacak sanırım. Bu konuda fikri olan varmı sql injection açığını kapattım ama hala bi şekilde database taramasında buluyor bunu nasıl engelleriz.

Teknik açıklar kadar mantık hatalarına da dikkat etmelisiniz. Örnek vermek gerekirse; 3 aşamalı (3 sayfadan oluşan) bir kayıt sayfası düşünün. İlk aşamada kayıt ücreti alınsın, ikinci aşamada ödeme bilgileri kontrol edilsin eğer ödeme yapıldıysa üyelik bilgileri istenilsin 3. aşamada ise kayıt tamamlansın. Eğer siz 3. aşamayada ödeme yapıldığını kontrol ettirmezseniz doğrudan 1. aşamayı bypass edip 3. aşamada üyeliği gerçekleştirebilir. Bu tarz mantık hataları birçok sistemde (facebooktaki kritik birkaç güvenlik açığı gibi) sıkça rastlanmaktadır.

Teknik açıklarda ise PHP'de en çok rastlananlar XSS, Sql injection, Remote code execute, rfi, lfi 'dir. Araştırmalar yaparak bunlara rahatça ulaşabilirsiniz. phpclasses.org 'da hazır sınıflar olması lazım bununla ilgili.