0
Kayıt Ol

sql injection açığından dolayı sitem hackleniyor.

16

1.315

  • 24-11-2013, 17:59:30
    #10
    kadir58
    kadir58
    bolumler.php php tagları arasına

    if ( isset( $_GET['id']) ){ $filtered_var = mysql_escape_string( $_GET['id'] ); $_GET['id'] = $filtered_var;}
if ( isset( $_POST['id']) ){ $filtered_var = mysql_escape_string( $_POST['id'] ); $_POST['id'] = $filtered_var;}
if ( isset( $_REQUEST['id']) ){ $filtered_var = mysql_escape_string( $_REQUEST['id'] ); $_REQUEST['id'] = $filtered_var;}
    Ekleyin daha sonra

    gene bolumler.php içerisine php tagları arasına 

    if ( isset( $_GET['kelime']) ){ $filtered_var = mysql_escape_string( $_GET['kelime'] ); $_GET['kelime'] = $filtered_var;}
if ( isset( $_POST['kelime']) ){ $filtered_var = mysql_escape_string( $_POST['kelime'] ); $_POST['kelime'] = $filtered_var;}
if ( isset( $_REQUEST['kelime']) ){ $filtered_var = mysql_escape_string( $_REQUEST['kelime'] ); $_REQUEST['kelime'] = $filtered_var;}
    uye_giris.php de php tagları arasına

    if ( isset( $_GET['user']) ){ $filtered_var = mysql_escape_string( $_GET['user'] ); $_GET['user'] = $filtered_var;}
if ( isset( $_POST['user']) ){ $filtered_var = mysql_escape_string( $_POST['user'] ); $_POST['user'] = $filtered_var;}
if ( isset( $_REQUEST['user']) ){ $filtered_var = mysql_escape_string( $_REQUEST['user'] ); $_REQUEST['user'] = $filtered_var;}
    sonrasında gene uye_giris.php deki php tagları arasına

    if ( isset( $_GET['pass']) ){ $filtered_var = mysql_escape_string( $_GET['pass'] ); $_GET['pass'] = $filtered_var;}
if ( isset( $_POST['pass']) ){ $filtered_var = mysql_escape_string( $_POST['pass'] ); $_POST['pass'] = $filtered_var;}
if ( isset( $_REQUEST['pass']) ){ $filtered_var = mysql_escape_string( $_REQUEST['pass'] ); $_REQUEST['pass'] = $filtered_var;}
    ekleyin SQL açıklarını bu şekilde kapatıcaksınız

    XSS açıkları için ise

    bolumler.php içerisine php tagları arasına

    if ( isset( $_GET['id']) ){ $filtered_var = htmlspecialchars( $_GET['id'] , ENT_QUOTES); $_GET['id'] = $filtered_var;}
if ( isset( $_POST['id']) ){ $filtered_var = htmlspecialchars( $_POST['id'] , ENT_QUOTES); $_POST['id'] = $filtered_var;}
if ( isset( $_REQUEST['id']) ){ $filtered_var = htmlspecialchars( $_REQUEST['id'] , ENT_QUOTES); $_REQUEST['id'] = $filtered_var;}
    ve tekrar bolumler.php deki php tagları arasına

    if ( isset( $_GET['kelime']) ){ $filtered_var = htmlspecialchars( $_GET['kelime'] , ENT_QUOTES); $_GET['kelime'] = $filtered_var;}
if ( isset( $_POST['kelime']) ){ $filtered_var = htmlspecialchars( $_POST['kelime'] , ENT_QUOTES); $_POST['kelime'] = $filtered_var;}
if ( isset( $_REQUEST['kelime']) ){ $filtered_var = htmlspecialchars( $_REQUEST['kelime'] , ENT_QUOTES); $_REQUEST['kelime'] = $filtered_var;}
    Ekleyin ve kayıt edin %99 çözülecek sorunlarınız.ekledikten sonra bana habar verin tekrar açıklar için kontrol ediyim varsa biraz daha çözüm geliştiririm.

    Değişiklik yapmadan önce bolumler.php ve uye_giris.php yedeklemeyi unutmayın
  • 24-11-2013, 18:39:24
    #11
    h2run
    h2run
    kadir58 adlı üyeden alıntı: mesajı görüntüle
    bolumler.php php tagları arasına

    if ( isset( $_GET['id']) ){ $filtered_var = mysql_escape_string( $_GET['id'] ); $_GET['id'] = $filtered_var;}
if ( isset( $_POST['id']) ){ $filtered_var = mysql_escape_string( $_POST['id'] ); $_POST['id'] = $filtered_var;}
if ( isset( $_REQUEST['id']) ){ $filtered_var = mysql_escape_string( $_REQUEST['id'] ); $_REQUEST['id'] = $filtered_var;}
    Ekleyin daha sonra

    gene bolumler.php içerisine php tagları arasına 

    if ( isset( $_GET['kelime']) ){ $filtered_var = mysql_escape_string( $_GET['kelime'] ); $_GET['kelime'] = $filtered_var;}
if ( isset( $_POST['kelime']) ){ $filtered_var = mysql_escape_string( $_POST['kelime'] ); $_POST['kelime'] = $filtered_var;}
if ( isset( $_REQUEST['kelime']) ){ $filtered_var = mysql_escape_string( $_REQUEST['kelime'] ); $_REQUEST['kelime'] = $filtered_var;}
    uye_giris.php de php tagları arasına

    if ( isset( $_GET['user']) ){ $filtered_var = mysql_escape_string( $_GET['user'] ); $_GET['user'] = $filtered_var;}
if ( isset( $_POST['user']) ){ $filtered_var = mysql_escape_string( $_POST['user'] ); $_POST['user'] = $filtered_var;}
if ( isset( $_REQUEST['user']) ){ $filtered_var = mysql_escape_string( $_REQUEST['user'] ); $_REQUEST['user'] = $filtered_var;}
    sonrasında gene uye_giris.php deki php tagları arasına

    if ( isset( $_GET['pass']) ){ $filtered_var = mysql_escape_string( $_GET['pass'] ); $_GET['pass'] = $filtered_var;}
if ( isset( $_POST['pass']) ){ $filtered_var = mysql_escape_string( $_POST['pass'] ); $_POST['pass'] = $filtered_var;}
if ( isset( $_REQUEST['pass']) ){ $filtered_var = mysql_escape_string( $_REQUEST['pass'] ); $_REQUEST['pass'] = $filtered_var;}
    ekleyin SQL açıklarını bu şekilde kapatıcaksınız

    XSS açıkları için ise

    bolumler.php içerisine php tagları arasına

    if ( isset( $_GET['id']) ){ $filtered_var = htmlspecialchars( $_GET['id'] , ENT_QUOTES); $_GET['id'] = $filtered_var;}
if ( isset( $_POST['id']) ){ $filtered_var = htmlspecialchars( $_POST['id'] , ENT_QUOTES); $_POST['id'] = $filtered_var;}
if ( isset( $_REQUEST['id']) ){ $filtered_var = htmlspecialchars( $_REQUEST['id'] , ENT_QUOTES); $_REQUEST['id'] = $filtered_var;}
    ve tekrar bolumler.php deki php tagları arasına

    if ( isset( $_GET['kelime']) ){ $filtered_var = htmlspecialchars( $_GET['kelime'] , ENT_QUOTES); $_GET['kelime'] = $filtered_var;}
if ( isset( $_POST['kelime']) ){ $filtered_var = htmlspecialchars( $_POST['kelime'] , ENT_QUOTES); $_POST['kelime'] = $filtered_var;}
if ( isset( $_REQUEST['kelime']) ){ $filtered_var = htmlspecialchars( $_REQUEST['kelime'] , ENT_QUOTES); $_REQUEST['kelime'] = $filtered_var;}
    Ekleyin ve kayıt edin %99 çözülecek sorunlarınız.ekledikten sonra bana habar verin tekrar açıklar için kontrol ediyim varsa biraz daha çözüm geliştiririm.

    Değişiklik yapmadan önce bolumler.php ve uye_giris.php yedeklemeyi unutmayın



    Değişiklikleri hemen yaptım.
    Çok çok teşekkürler.
  • 24-11-2013, 21:54:03
    #12
    kadir58
    kadir58
    Kalan Son Açıklarıda Kapatmak için

    bolumler.php php tagları içerisine

    if ( isset( $_GET['username']) ){ $filtered_var = mysql_escape_string( $_GET['username'] ); $_GET['username'] = $filtered_var;}
if ( isset( $_POST['username']) ){ $filtered_var = mysql_escape_string( $_POST['username'] ); $_POST['username'] = $filtered_var;}
if ( isset( $_REQUEST['username']) ){ $filtered_var = mysql_escape_string( $_REQUEST['username'] ); $_REQUEST['username'] = $filtered_var;}

if ( isset( $_GET['username']) ){ $filtered_var = htmlspecialchars( $_GET['username'] , ENT_QUOTES); $_GET['username'] = $filtered_var;} 
if ( isset( $_POST['username']) ){ $filtered_var = htmlspecialchars( $_POST['username'] , ENT_QUOTES); $_POST['username'] = $filtered_var;} 
if ( isset( $_REQUEST['username']) ){ $filtered_var = htmlspecialchars( $_REQUEST['username'] , ENT_QUOTES); $_REQUEST['username'] = $filtered_var;}  

if ( isset( $_GET['uyeadi']) ){ $filtered_var = htmlspecialchars( $_GET['uyeadi'] , ENT_QUOTES); $_GET['uyeadi'] = $filtered_var;} 
if ( isset( $_POST['uyeadi']) ){ $filtered_var = htmlspecialchars( $_POST['uyeadi'] , ENT_QUOTES); $_POST['uyeadi'] = $filtered_var;} 
if ( isset( $_REQUEST['uyeadi']) ){ $filtered_var = htmlspecialchars( $_REQUEST['uyeadi'] , ENT_QUOTES); $_REQUEST['uyeadi'] = $filtered_var;}
    akıs.php php tagları içerisine

    if ( isset( $_GET['id']) ){ $filtered_var = mysql_escape_string( $_GET['id'] ); $_GET['id'] = $filtered_var;} 
if ( isset( $_POST['id']) ){ $filtered_var = mysql_escape_string( $_POST['id'] ); $_POST['id'] = $filtered_var;} 
if ( isset( $_REQUEST['id']) ){ $filtered_var = mysql_escape_string( $_REQUEST['id'] ); $_REQUEST['id'] = $filtered_var;}
  • 25-11-2013, 00:52:11
    #13
    h2run
    h2run
    kadir58 adlı üyeden alıntı: mesajı görüntüle
    Kalan Son Açıklarıda Kapatmak için

    bolumler.php php tagları içerisine

    if ( isset( $_GET['username']) ){ $filtered_var = mysql_escape_string( $_GET['username'] ); $_GET['username'] = $filtered_var;}
if ( isset( $_POST['username']) ){ $filtered_var = mysql_escape_string( $_POST['username'] ); $_POST['username'] = $filtered_var;}
if ( isset( $_REQUEST['username']) ){ $filtered_var = mysql_escape_string( $_REQUEST['username'] ); $_REQUEST['username'] = $filtered_var;}

if ( isset( $_GET['username']) ){ $filtered_var = htmlspecialchars( $_GET['username'] , ENT_QUOTES); $_GET['username'] = $filtered_var;} 
if ( isset( $_POST['username']) ){ $filtered_var = htmlspecialchars( $_POST['username'] , ENT_QUOTES); $_POST['username'] = $filtered_var;} 
if ( isset( $_REQUEST['username']) ){ $filtered_var = htmlspecialchars( $_REQUEST['username'] , ENT_QUOTES); $_REQUEST['username'] = $filtered_var;}  

if ( isset( $_GET['uyeadi']) ){ $filtered_var = htmlspecialchars( $_GET['uyeadi'] , ENT_QUOTES); $_GET['uyeadi'] = $filtered_var;} 
if ( isset( $_POST['uyeadi']) ){ $filtered_var = htmlspecialchars( $_POST['uyeadi'] , ENT_QUOTES); $_POST['uyeadi'] = $filtered_var;} 
if ( isset( $_REQUEST['uyeadi']) ){ $filtered_var = htmlspecialchars( $_REQUEST['uyeadi'] , ENT_QUOTES); $_REQUEST['uyeadi'] = $filtered_var;}
    akıs.php php tagları içerisine

    if ( isset( $_GET['id']) ){ $filtered_var = mysql_escape_string( $_GET['id'] ); $_GET['id'] = $filtered_var;} 
if ( isset( $_POST['id']) ){ $filtered_var = mysql_escape_string( $_POST['id'] ); $_POST['id'] = $filtered_var;} 
if ( isset( $_REQUEST['id']) ){ $filtered_var = mysql_escape_string( $_REQUEST['id'] ); $_REQUEST['id'] = $filtered_var;}


    Bunlarıda uyguladım üstadımmmmmm
  • 25-11-2013, 13:20:32
    #14
    soulmy
    soulmy
    Get veye Post'tan gelen verileri tek tek filtrelemek yerine array_map ile pratik bir şekilde filtreleyebilirsiniz.

    Örnek için:

    https://www.r10.net/1067497174-post89.html

    veya

    http://soulmy.net/array_map-ile-bir-...iyon-uygulama/
  • 25-11-2013, 14:09:22
    #15
    h2run
    h2run
    soulmy adlı üyeden alıntı: mesajı görüntüle
    Get veye Post'tan gelen verileri tek tek filtrelemek yerine array_map ile pratik bir şekilde filtreleyebilirsiniz.

    Örnek için:

    https://www.r10.net/1067497174-post89.html

    veya

    http://soulmy.net/array_map-ile-bir-...iyon-uygulama/
    Usta benim kodlarımda örnek bi ekleme yapabilir misiniz array_map ile?
  • 25-11-2013, 15:27:33
    #16
    spider58
    spider58
    Üyeliği durduruldu
    h2run adlı üyeden alıntı: mesajı görüntüle
    Arkadaşlar yıllardır emek verdiğimiz site bu aralar hackleniyor.
    Ne yapabilirim?

    $sorgu = mysql_query("SELECT * FROM yazilar WHERE id='$_GET[id]'");
    while($row = mysql_fetch_array($sorgu)){
    echo"<form action=\"\" method=\"post\">";
    echo"<table cellspacing=\"2\" cellpadding=\"2\">";
    echo"<tr><td align=\"right\">Başlık</td><td><input type=\"text\" name=\"baslik\" value=\"$row[baslik]\" size=\"50\"></td></tr>";
    echo"<tr><td align=\"right\">Kategori</td><td><select name=\"cid\">";
    $sorgu2 = mysql_query("SELECT id,isim FROM yazilar_kat ORDER BY isim ASC");
    while($row2 = mysql_fetch_array($sorgu2)){
    if($row2[id]==$row[cid]){$b='selected';}else{$b='';}
    echo"<option value=\"$row2[id]\" $b>$row2[isim]</option>";
    } 
      $sorgu = mysql_query("SELECT * FROM yazilar WHERE id='$_GET[id]'");
    kodunu şununla değiştirin yeterli. Nümerik değişkenlerde sadece intval() yeterli olur.

    $id = intval($_GET['id']);
 $sorgu = mysql_query("SELECT * FROM yazilar WHERE id='" . $id . "'");
  • 28-11-2013, 01:20:31
    #17
    h2run
    h2run
    Çok teşekkür ederim yardımlar için.