0
Kayıt Ol

Sql Açığı kapatma Yardım

10

1.114

  • 18-10-2013, 16:39:01
    #1
    sersat
    sersat
    Üyeliği durduruldu
    <?php include("includes/headeric.php"); ?>

<div class="icerik">
<h1>Kurumsal</h1>
<div class="icmenu">
<ul>
<?php
$sorgu = mysql_query("SELECT * FROM kurumsal");
while($kayit = mysql_fetch_array($sorgu))
  {
  echo"
  <li><a href=\"kurumsal.php?sayfa={$kayit[id]}\">{$kayit[baslik]}</a></li>\n";
  }
?>
</ul>
</div>
				  <?php
				if(isset($_GET['sayfa'])){
					$sorgu = mysql_query("SELECT * FROM `kurumsal` WHERE id='$_GET[sayfa]'");
					$bilgi = mysql_fetch_array($sorgu);
					
				
					echo "<p>{$bilgi['icerik']}</p>";
				}
				else
				{
					$al = mysql_query("SELECT * FROM `kurumsal` WHERE sira='1'");
					$varsayilan = mysql_fetch_array($al);
						
					
					echo "<p>{$varsayilan['icerik']}</p>";
				}
				?>
</div>
<?php include("includes/footer.php"); ?>
    Arkadaşlar bu üstte gördüğünüz sayfada bi sql açığı var tam olarak nerede ve nasıl kapatabilirim yardımcı olurmusunuz.
  • 18-10-2013, 17:17:42
    #2
    Milen
    Milen
    $_GET['sayfa'] ile gelen veriyi direkt sorguda kullanmışsın.
  • 18-10-2013, 17:26:47
    #3
    cenkkoroglu
    cenkkoroglu
    sersat adlı üyeden alıntı: mesajı görüntüle 
    <?php include("includes/headeric.php"); ?>

<div class="icerik">
<h1>Kurumsal</h1>
<div class="icmenu">
<ul>
<?php
$sorgu = mysql_query("SELECT * FROM kurumsal");
while($kayit = mysql_fetch_array($sorgu))
  {
  echo"
  <li><a href=\"kurumsal.php?sayfa={$kayit[id]}\">{$kayit[baslik]}</a></li>\n";
  }
?>
</ul>
</div>
				  <?php
				if(isset($_GET['sayfa'])){
					$sorgu = mysql_query("SELECT * FROM `kurumsal` WHERE id='$_GET[sayfa]'");
					$bilgi = mysql_fetch_array($sorgu);
					
				
					echo "<p>{$bilgi['icerik']}</p>";
				}
				else
				{
					$al = mysql_query("SELECT * FROM `kurumsal` WHERE sira='1'");
					$varsayilan = mysql_fetch_array($al);
						
					
					echo "<p>{$varsayilan['icerik']}</p>";
				}
				?>
</div>
<?php include("includes/footer.php"); ?>
    Arkadaşlar bu üstte gördüğünüz sayfada bi sql açığı var tam olarak nerede ve nasıl kapatabilirim yardımcı olurmusunuz. 
    <?php include("includes/headeric.php"); ?> 

<div class="icerik"> 
<h1>Kurumsal</h1> 
<div class="icmenu"> 
<ul> 
<?php 
$sorgu = mysql_query("SELECT * FROM kurumsal"); 
while($kayit = mysql_fetch_array($sorgu)) 
  { 
  echo" 
  <li><a href=\"kurumsal.php?sayfa={$kayit[id]}\">{$kayit[baslik]}</a></li>\n"; 
  } 
?> 
</ul> 
</div> 
                  <?php 
                if(isset($_GET['sayfa'])){ 
$getsayfa = mysql_real_escape_string($_GET[sayfa]);
                    $sorgu = mysql_query("SELECT * FROM `kurumsal` WHERE id='$getsayfa'"); 
                    $bilgi = mysql_fetch_array($sorgu); 
                     
                 
                    echo "<p>{$bilgi['icerik']}</p>"; 
                } 
                else 
                { 
                    $al = mysql_query("SELECT * FROM `kurumsal` WHERE sira='1'"); 
                    $varsayilan = mysql_fetch_array($al); 
                         
                     
                    echo "<p>{$varsayilan['icerik']}</p>"; 
                } 
                ?> 
</div> 
<?php include("includes/footer.php"); ?>
  • 18-10-2013, 17:27:57
    #4
    Nietzsche
    Nietzsche
    Üyeliği durduruldu
    gelen post ve get verilerini tamamen temizlemelisin.
  • 18-10-2013, 17:39:03
    #5
    sersat
    sersat
    Üyeliği durduruldu
    cenkkoroglu adlı üyeden alıntı: mesajı görüntüle 
    <?php include("includes/headeric.php"); ?> 

<div class="icerik"> 
<h1>Kurumsal</h1> 
<div class="icmenu"> 
<ul> 
<?php 
$sorgu = mysql_query("SELECT * FROM kurumsal"); 
while($kayit = mysql_fetch_array($sorgu)) 
  { 
  echo" 
  <li><a href=\"kurumsal.php?sayfa={$kayit[id]}\">{$kayit[baslik]}</a></li>\n"; 
  } 
?> 
</ul> 
</div> 
                  <?php 
                if(isset($_GET['sayfa'])){ 
$getsayfa = mysql_real_escape_string($_GET[sayfa]);
                    $sorgu = mysql_query("SELECT * FROM `kurumsal` WHERE id='$getsayfa'"); 
                    $bilgi = mysql_fetch_array($sorgu); 
                     
                 
                    echo "<p>{$bilgi['icerik']}</p>"; 
                } 
                else 
                { 
                    $al = mysql_query("SELECT * FROM `kurumsal` WHERE sira='1'"); 
                    $varsayilan = mysql_fetch_array($al); 
                         
                     
                    echo "<p>{$varsayilan['icerik']}</p>"; 
                } 
                ?> 
</div> 
<?php include("includes/footer.php"); ?>
    Yardımınız için teşekkür ederim.
  • 18-10-2013, 17:40:28
    #6
    cenkkoroglu
    cenkkoroglu
    sersat adlı üyeden alıntı: mesajı görüntüle
    Yardımınız için teşekkür ederim.
    Önemli değil kullanılıyor ise script test edebilirim.
  • 18-10-2013, 17:46:43
    #7
    Quantum
    Quantum
    trim() fonksiyonuyla; get ve post ile gelen verileri temizletebilirsin.
  • 18-10-2013, 17:50:48
    #8
    sersat
    sersat
    Üyeliği durduruldu
    cenkkoroglu adlı üyeden alıntı: mesajı görüntüle
    Önemli değil kullanılıyor ise script test edebilirim.
    Özel mesaj ile siteyi atıyorum hocam bi bakarsanız sevinirim.
  • 18-10-2013, 22:12:55
    #9
    EnesDemir
    EnesDemir
    Hocam aşağıdaki adresteki fonksiyonu kullanırsanız + her veriyi kontrol ettikten sonra sorguya sokarsanız problem kalmaz.
    Not: normalde direk kodu koyacaktım ancak mobilim.
    http://enesdemir.org/blog/sql-inject...k.html#more-45


    Sent from my iPhone using Tapatalk - now Free