Iletisim.php‘de Açık Varmış Acil Yardım.

30-05-2015, 11:54:07

Üyeliği durduruldu

merhaba arkadaş sitemde iletisim.php'de açık olduğunu söylediler.

iframe yada meta ile siteyi komple kilitleyebilirlermiş vs bunu nasıl kapatabilirim.

iletisim.php dosyam bu :

<?php echo !defined("GUVENLIK") ? die("Erisim Engellendi!.") : null;?>
<style type="text/css">
<!--
.style1 {
	color: #FF0000;
	font-weight: bold;
}
.style6 {color: #FF0000; font-weight: bold; font-size: 12px; }
.style7 {color: #0033CC; font-weight: bold; }
-->
</style>

<div class="bulutomo">
	<div class="ust"></div>
	<div class="icsayfaorta">
		<div class="icust">
			<div class="icresim">
				<img id="ctl00_ContentPlaceHolder1_bandSiteMap_imgResim" src="Dosyalar/Galeri/Resim/a78d4e35-4f55-4a2.png" style="border-width:0px;" />			</div>
			<h1>İLETİŞİM</h1>
			<div class="band">
				<h2 class="ana"><a href="sayfa-anasayfa" title="ana sayfa">Anasayfa</a></h2>
				<h3>iletişim</h3>
			</div>
		</div>
		<div class="ickisim">

			<div class="adres">
			  <h6 class="oltan">&nbsp;			  </h6>
				<h6 align="left" class="oltan">
				  <p align="left"> <span class="style6"></span></p>
			  </h6>
				<h6 class="home">
				  <?=$ayar['firma_adres']?>
			  </h6>
			  <h6 class="tel1">
        <?=$ayar['firma_telefon'];?></h6>
				<h6 class="fax">
        <?=$ayar['firma_fax'];?></h6>
				<h6 class="mail">
         <?=$ayar['firma_email']?></h6>
				<p class="mail">&nbsp;</p>
		  </div>
	  <div class="iletisimform">

				<div id="ctl00_ContentPlaceHolder1_iletisimForm_UpdatePanel1">
<script>
// JavaScript Document
$(function(){
		$("#btnSubmitMesaj").click(function(){
			var eposta = $("#eposta").val();
			var adsoyad = $("#adsoyad").val();
			var telefon = $("#telefon").val();
			var konu = $("#konu").val();			
			var mesaj = $("#mesaj").val();
					
			$.ajax({ 
            type: "POST",
            url: "mesaj.php",
            data: {'eposta':eposta, 'adsoyad':adsoyad, 'telefon':telefon, 'konu':konu, 'mesaj':mesaj},
            error:function(){ alert("Bir hata oluştur.")},
            success: function(veri) {
				 alert(veri);
				 document.forms["form1"].reset();
				 }           
        });
})
})
</script>
			<form action="" method="post" name="form1">
                <input name="adsoyad" type="text" id="adsoyad" class="konu" placeholder="Ad - Soyad" />
                
                <input name="telefon" type="text" id="telefon" class="konu" placeholder="Telefon"/>

                <input name="eposta" type="text" id="eposta" class="konu" placeholder="E-Mail" />
                
                <input name="konu" type="text" id="konu" class="konu" placeholder="Konu" />
                
                <textarea name="mesaj" id="mesaj" class="mesaj" placeholder="Mesajınız"></textarea>

                <input type="button" name="gönder" value="GÖNDER" id="btnSubmitMesaj" class="gonder" />
			</form>
					<div style="float: left; font-size: 11px; margin: 12px 0 0 10px;">					</div>
				</div>
			</div>
			<div class="harita">
				<div class="mapgolge">
				  <table border="0" width="419">
                    <tr>
                      <td width="407"><h6 class="oltan">
				  <p align="center"> <span class="style6"></span></p>        
			  </h6>
<p><br />
                             </p>
                        <h6 class="oltan">
				  <p align="center"> <span class="style6"></span></p>        
			  </h6>
                        <p><br />
                           <br />
                          </p></td>
                    </tr>
                  </table>
				</div>
				<p>&nbsp;				</p>
				<p>&nbsp;</p>
				<p>&nbsp;</p>
				<p class="style1">&nbsp;</p>
			  <p>&nbsp;</p>
				<p align="center"><span class="style1"><img src="" alt="" width="703" height="7" /></span></p>
				<p align="center"><span class="style1"></span> <strong>(Map)</strong></p>
	    <p>
				  <iframe frameborder="0" height="350" marginheight="0" marginwidth="0" scrolling="no" src="<?=$ayar['google_maps']?>"
					width="980"></iframe>
			  </p>
			  <div class="mapgolge"></div>
			</div>
		</div>
	</div>
     <div class="markalar mic">
			<div class="markaic markaic1">
			</div>
			        </div>

30-05-2015, 11:55:20

#2

~~TemaTasarim~~

Üyeliği durduruldu

Siteyi alabilir miyim ? XSS açığı mı dediler size

30-05-2015, 12:00:46

#3

~~Repairman~~

Üyeliği durduruldu

TemaTasarim adlı üyeden alıntı: mesajı görüntüle

Siteyi alabilir miyim ? XSS açığı mı dediler size

hocam iletisim kısmında olduğunu söylediler meta yada iframe ile sitenin kitlenebileceğini vs söylediler böyle birşey varmı iletisim.php'de su an görünen

30-05-2015, 12:45:53

#4

Ali

Burdan anlaşılmaz adresi verirseniz link yapısına bakmak isterim

30-05-2015, 14:32:42

#5

black_scorpion

Iletisim.php dosyasindan atilan mesajlarin html ozelligini deaktif edin. Mesaj olarak html yonlendirme kodu yollarlarsa site meta yiyebilir.

01-06-2015, 10:21:21

#6

~~Repairman~~

Üyeliği durduruldu

black_scorpion adlı üyeden alıntı: mesajı görüntüle

Iletisim.php dosyasindan atilan mesajlarin html ozelligini deaktif edin. Mesaj olarak html yonlendirme kodu yollarlarsa site meta yiyebilir.

nasıl yapabilirim onu hocam bana yardımcı olurmusunuz.

01-06-2015, 17:12:29

#7

Cortexiphan

mesaj.php'e post ile gönderdiğiniz verileri filtrelemeniz gerekli veritabanına kayıt etmeden önce.Google da PHP zararlı kodları temizleme gibi aratırsanız sizin daha kolay anlayacağınız Türkçe kaynaklar bulabilirsiniz.Örnek bir fonksiyonu aşağıya ekledim.
Kullanımı;

Alıntı

$ad = temizle($_POST['ad']);

Alıntı

function temizle ($text) {
$text = preg_replace("'<script[^>]*>.*?</script>'si", '', $text );
$text = preg_replace('/<a\s+.*?href="([^"]+)"[^>]*>([^<]+)<\/a>/is', '\2 (\1)',$text );
$text = preg_replace( '//', '', $text );
$text = preg_replace( '/{.+?}/', '', $text );
$text = preg_replace( '/ /', ' ', $text );
$text = preg_replace( '/&/', ' ', $text );
$text = preg_replace( '/"/', ' ', $text );
$text = strip_tags($text);
$text = htmlspecialchars($text);
return $text;
}