0
Kayıt Ol

escape str güvenlik sorusu

2

311

  • 28-06-2016, 12:55:58
    #1
    darkymarky
    darkymarky
    _GET ile gelen ve _POST ile gelenlere escape html.. güvenliğini uyguluyorum


    _SESSION'ada uygulamaya karar verdim


    sorularım sunlar;

    tablodan gelen şu tanımlamalara kullanmak gerekir mi örneğin


    $AAA= $x["kolon2"]


    yukarıdaki gelen veriyede escape sting şeklinde bir düzenleme gerekir mi?

    $AAA , select * from içinde geçen sql queryde kullanılıyor ayrıca update de

    Eğer AAA için escape kullanmak gerekiyorsa;

    sadece sql bağlantısının yapıldığı yerlerde mi escape demek lazım yoksa normal update yada select from gelmeyen sadece <?=$AAA?> şeklinde kullanılan yerler için de escape demek gerekir mi?


    ***


    diğer bir sorum inejction acığı olduğunda neler yapabilir, tüm veritebanımı kopyalar, değiştirir yada bilgisayara zararlı yazılım sokabilir mi ?
  • 04-07-2016, 12:31:42
    #2
    muhammedaksam
    muhammedaksam
    darkymarky adlı üyeden alıntı: mesajı görüntüle
    _GET ile gelen ve _POST ile gelenlere escape html.. güvenliğini uyguluyorum


    _SESSION'ada uygulamaya karar verdim


    sorularım sunlar;

    tablodan gelen şu tanımlamalara kullanmak gerekir mi örneğin


    $AAA= $x["kolon2"]


    yukarıdaki gelen veriyede escape sting şeklinde bir düzenleme gerekir mi?

    $AAA , select * from içinde geçen sql queryde kullanılıyor ayrıca update de

    Eğer AAA için escape kullanmak gerekiyorsa;

    sadece sql bağlantısının yapıldığı yerlerde mi escape demek lazım yoksa normal update yada select from gelmeyen sadece <?=$AAA?> şeklinde kullanılan yerler için de escape demek gerekir mi?


    ***


    diğer bir sorum inejction acığı olduğunda neler yapabilir, tüm veritebanımı kopyalar, değiştirir yada bilgisayara zararlı yazılım sokabilir mi ?
    Sistemi kullanıcılar da kullanıyorsa update post get işlemlerinde kullanmak gerekir. Fakat sessionlar için gerekmez diye tahmin ediyorum. Mesela ben kullanıcı ekleme, hizmet ekleme için kullanıyorum kullanıcı da ekleyebildiği için, fakat session için buna gerek yok sanırım.
  • 09-07-2016, 02:16:06
    #3
    PROOYUN
    PROOYUN
    Kimlik doğrulama veya yönetimden onay bekliyor.
    darkymarky adlı üyeden alıntı: mesajı görüntüle
    _GET ile gelen ve _POST ile gelenlere escape html.. güvenliğini uyguluyorum


    _SESSION'ada uygulamaya karar verdim


    sorularım sunlar;

    tablodan gelen şu tanımlamalara kullanmak gerekir mi örneğin


    $AAA= $x["kolon2"]


    yukarıdaki gelen veriyede escape sting şeklinde bir düzenleme gerekir mi?

    $AAA , select * from içinde geçen sql queryde kullanılıyor ayrıca update de

    Eğer AAA için escape kullanmak gerekiyorsa;

    sadece sql bağlantısının yapıldığı yerlerde mi escape demek lazım yoksa normal update yada select from gelmeyen sadece <?=$AAA?> şeklinde kullanılan yerler için de escape demek gerekir mi?


    ***


    diğer bir sorum inejction acığı olduğunda neler yapabilir, tüm veritebanımı kopyalar, değiştirir yada bilgisayara zararlı yazılım sokabilir mi ?
    XSS 'de korunma yöntemleri veri tabanına kayıt sırasında değil, çıktı sırasında yapılmalıdır. Veri tabanına her zaman ham veri eklemek sağlıklıdır.

    SQL Injection ile veri tabanınız silinebilir, kayıtlar değiştirilebilir ve kullanmış olduğunuz sunucuya dosya yüklemesi yapılabilir. Bu da tamamen sunucunun kontrolünü kaybetmenize sebep verir.

    SQL sorgusu göndereceğiniz yerlerde escape (aynı kavramdan mı bahsediyoruz, emin değilim) kullanmanız mantıklıdır.