0
Kayıt Ol

Sql injectiondan tam anlamda korunmak

11

2.744

  • 14-08-2013, 02:24:58
    #10
    Hyperion
    Hyperion
    Üyeliği durduruldu
    Lenassart adlı üyeden alıntı: mesajı görüntüle
    mysql_real_escape_string,strip_tags bazende addslashes fonksiyonları can kurtarır mysql pdo biraz zor gibi geliyor başlangıçta yada benim için zordu.

    ek olarak sql injection olayına karşı sorgularla veya post,get verilerini sınırlayarak daha güçlü bir koruma sağlayabilirsiniz.

    SELECT * FROM yerine SELECT id,sifre FROM ---- LIMIT 1

    Post veya Get den gelen verinin strlen ile limitlenmesi yada sadece numara yada harf ile sınırlandırmak vb bir çok önlem alabilirsiniz.



    OOP ile uğraşmamış biri için tabi ki daha zor olacak ancak yeni sürümlerde mysql_* nin deprecated olduğunu unutmamak lazım
  • 14-08-2013, 02:27:34
    #11
    Berkay
    Berkay
    NetMaster adlı üyeden alıntı: mesajı görüntüle
    mysql_escape_string inject için çıkmıştır tek başına yeterlidir. // Anlamı mysqli etkileyen tagları çıkart / sil

    Tabi daha gelişmiş bi fonksiyon yazabilirsin örneğin benim kendi fonksiyonum.

    function guvenlik($q) { 
$q = htmlspecialchars(stripslashes($q));
$q = str_replace("script", "blocked", $q);
$q = str_replace("select", "", $q);
$q = str_replace("SELECT", "", $q);
$q = str_replace("UPDATE", "", $q);
$q = str_replace("update", "", $q);
$q = str_replace("delete", "", $q);
$q = str_replace("DELETE", "", $q);
$q = str_replace("UNION", "", $q);
$q = str_replace("union", "", $q);
$q = str_replace('"', "", $q);
$q = str_replace("%", "", $q);
$q = mysql_escape_string($q);
$q = str_replace("`","",$q);
$q = str_replace("'","'",$q);
$q = str_replace("-","-",$q);
$q = str_replace("&","",$q);
$q = str_replace("%","",$q);
$q = str_replace("<","",$q);
$q = str_replace(">","",$q);
$q = trim($q);
return $q; 
}
    Güzelmiş
  • 14-08-2013, 13:51:02
    #12
    Cas
    Cas
    Üyeliği durduruldu
    NetMaster adlı üyeden alıntı: mesajı görüntüle
    mysql_escape_string inject için çıkmıştır tek başına yeterlidir. // Anlamı mysqli etkileyen tagları çıkart / sil

    Tabi daha gelişmiş bi fonksiyon yazabilirsin örneğin benim kendi fonksiyonum.

    function guvenlik($q) { 
$q = htmlspecialchars(stripslashes($q));
$q = str_replace("script", "blocked", $q);
$q = str_replace("select", "", $q);
$q = str_replace("SELECT", "", $q);
$q = str_replace("UPDATE", "", $q);
$q = str_replace("update", "", $q);
$q = str_replace("delete", "", $q);
$q = str_replace("DELETE", "", $q);
$q = str_replace("UNION", "", $q);
$q = str_replace("union", "", $q);
$q = str_replace('"', "", $q);
$q = str_replace("%", "", $q);
$q = mysql_escape_string($q);
$q = str_replace("`","",$q);
$q = str_replace("'","'",$q);
$q = str_replace("-","-",$q);
$q = str_replace("&","",$q);
$q = str_replace("%","",$q);
$q = str_replace("<","",$q);
$q = str_replace(">","",$q);
$q = trim($q);
return $q; 
}
    bu şekil kullanırsan 
    $q =  htmlentities($q);
    eklemek gerekiyor. daha sağlıklı