0
Kayıt Ol

Güvenlik Sorunu ( Dışarıdan Post )

10

1.381

  • 30-12-2007, 05:10:45
    #1
    burcu2012
    burcu2012 
    <?
$mesaj = $_POST['mesaj2'];
mysql_connect("localhost","root","root");
mysql_select_db("text");
if ( empty($mesaj) ) {
echo "Bos";
}else{ mysql_query("insert into yazi set metin='$mesaj'"); }
}
?>
    sitemden post edince çalışıyor.localden veya başka bir siteden bu php dosyasına post edincede çalışıyor. Bunu nasıl engelleyebilirim.
  • 30-12-2007, 05:43:12
    #2
    Bartuc
    Bartuc
    Kurumsal PLUS
    <?
$mesaj = $_POST['mesaj2'];
mysql_connect("localhost","root","root");
mysql_select_db("text");
if ( empty($mesaj) ) {
echo "Bos";
}else{
if($_SERVER["HTTP_REFERER"] = "http://dosyaadresi") {
mysql_query("insert into yazi set metin='$mesaj'");
} else {
echo "Hatali";
}
}
?>
    denemedim ama çalışmalı.
  • 30-12-2007, 06:07:17
    #3
    S4l1h
    S4l1h
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Bartuc Verdiğin Örnek Bypass Edilebiliniyor register_globals On Olduğun'da
    Wisec - The WIse SECurity


    Bu Şekildede Bypass Edilebilinir > PHP Zone » How to bypass the REFERER security check



    Neden Session Yada Cookie Kullanmıyorsun ? burcu2012
  • 30-12-2007, 08:01:19
    #4
    zoizo
    zoizo
    S4l1h adlı üyeden alıntı: mesajı görüntüle
    Bartuc Verdiğin Örnek Bypass Edilebiliniyor register_globals On Olduğun'da
    Wisec - The WIse SECurity


    Bu Şekildede Bypass Edilebilinir > PHP Zone » How to bypass the REFERER security check



    Neden Session Yada Cookie Kullanmıyorsun ? burcu2012
    S4l1h'in dediği gibi session kullan, daha öncede dile getirdim.
    https://www.r10.net/php/110449-dogrud...ml#post1242950
  • 30-12-2007, 11:46:39
    #5
    ErsaT
    ErsaT
    Alternatif;
    -https://www.r10.net/php/109664-locald...ml#post1221149
    -Güvenlik kodu da kullanabilirsin.
  • 30-12-2007, 13:33:50
    #6
    mahirix
    mahirix
    Üyeliği durduruldu
    Bi çok yol vardır bunun için.session cookiee ama ben bunlardan farklı şeyler önereceğim.. Birincisi dosyaya direk erişimi yaşaklarsın ve sistem içinde postu çagırtırsın.. İkincisi hidden alanı oluşturursun ve bu kodu kontrol edersin ama bunuda dosyayo download eden birisi bulabilir ben kendimce geliştirdiğim bir sistemi sana söyleyeyim...

    Şimdi form alanında kullanıcının ip si ve rastgele bir kod üretip bunu sql a işliyorum...

    <input type=hidden name=gkodu value=<?=$gkodu=>>

    Bu yolla kodumu postluyorum ve kabul sayfamda bunu kontrol ediyorum...Bunu tahmin etmek zor bi olaydır
  • 30-12-2007, 15:12:02
    #7
    Bartuc
    Bartuc
    Kurumsal PLUS
    register_globals niye on oluyo ki açıklara sebebiyet verdiğinden ötürü artık kullanılmayan bir özelik. Dediğim yok en rahatıdır. ama session da farklı bir çözüm.
  • 30-12-2007, 18:32:45
    #8
    burcu2012
    burcu2012
    veriyi flash'tan gönderiyorum html'den den değil.Bazı arkadaşlar hidden yap demişlerde. Session'dan anlamıyorum nasıl yapılacak
  • 30-12-2007, 22:15:44
    #9
    mahirix
    mahirix
    Üyeliği durduruldu
    Bartuc adlı üyeden alıntı: mesajı görüntüle
    register_globals niye on oluyo ki açıklara sebebiyet verdiğinden ötürü artık kullanılmayan bir özelik. Dediğim yok en rahatıdır. ama session da farklı bir çözüm.
    Eger uygun kontroller yapılırsa register_globalsden iyisi yok..post get kodlarından kurtarıyor çoq pratik kod yazılıyor..