PDO Güvenlik Aklıma Takıldı - Sayfa 2

26-09-2016, 19:31:32

#10

Kimlik doğrulama veya yönetimden onay bekliyor.

asimus adlı üyeden alıntı: mesajı görüntüle

sistem index.php?sayfa=sayfa şeklinde ilerliyor. acaba index.php sayfasına bir temizleme aracı eklesem gelen postları temizler mi?

bütün kodları incelemek çok zor olacak.

Bir önceki mesajımı dikkatlice okuyup inceler misiniz ?

26-09-2016, 19:38:34

#11

asimus

Kimlik doğrulama veya yönetimden onay bekliyor.

PROOYUN adlı üyeden alıntı: mesajı görüntüle

Bir önceki mesajımı dikkatlice okuyup inceler misiniz ?

Beynim durdu

26-09-2016, 19:49:28

#12

PROOYUN

asimus adlı üyeden alıntı: mesajı görüntüle

Merhaba arkadaşlar. Aşağıda bir kod var. Bazı sitelerde PDO çok güvenlidir. Bu şekilde kullanabilirsiniz yazmışlar fakat benim aklıma takıldı. En azından quote dan geçirmek gerekmez mi?

$ilet=$db->prepare('INSERT into contact_form name = :name, mail = :mail, tel = :mobile, mesaj = :message');
					$ilet->execute(array("name" => "$_POST[name]",
										"message" => "$_POST[message]",
										"mail" => "$_POST[mail]", 
										"mobile" => "$_POST[mobile]");

Alıntı

Prepare edilmiş sorguya gelen parametreler tekrar sorgulanmaz. Bu yüzden sql injection mümkün değildir.

Siz zaten sorguyu prepare etmişsiniz yani sorgunuz hazırlanmış, parametre olarak göndereceğiniz veriler tekrar sorgulanmayacaktır. Konuyu (prepare) çıktı için bekleniyor olarak algılayabilirsiniz. Sorgunuza bindParam, bindValue veya execute ile parametre gönderiyorsunuz. Hangi yöntem ile gönderdiğinizin sizin açınızdan şuanda pek bir önemi bulunmuyor. Konuyu anlayabilmeniz için hem mySQL hem de PDO ile örnek göstermiştim, incelemelisiniz.

26-09-2016, 19:51:48

#13

asimus

Şu an çok yoğun bir günün ardından incelediğim için sanırım. Tekrar müsait olduğumda inceleyeyim.

Ben bindparam ile girdi yapıp execute ile sorguyu oluşturuyorum.

26-09-2016, 20:02:45

#14

~~osso~~

Üyeliği durduruldu

foreach ($_GET as $key => $value)
{
$value = str_replace('"', "", $value);
    $value = str_replace("'", "", $value);
	$value = str_replace("select", "", $value);
	$value = str_replace("SELECT", "",  $value);
	$value = str_replace("UPDATE", "",  $value);
	$value = str_replace("update", "",  $value);
	$value = str_replace("delete", "",  $value);
	$value = str_replace("DELETE", "",  $value);
	$value = str_replace("UNION", "",  $value);
	$value = str_replace("union", "",  $value);
	$value = str_replace('"', "",  $value);
	$value = str_replace("`","", $value);
	$value = str_replace("'","'", $value);
	$value = str_replace("-","-", $value);
	$value = str_replace("<","", $value);
	$value = str_replace(">","", $value);
	$value = str_replace(">","", $value);
    $_GET[$key] = $value;
}
foreach ($_REQUEST as $key => $value)
{
$value = str_replace('"', "", $value);
    $value = str_replace("'", "", $value);
	$value = str_replace("select", "", $value);
	$value = str_replace("SELECT", "",  $value);
	$value = str_replace("UPDATE", "",  $value);
	$value = str_replace("update", "",  $value);
	$value = str_replace("delete", "",  $value);
	$value = str_replace("DELETE", "",  $value);
	$value = str_replace("UNION", "",  $value);
	$value = str_replace("union", "",  $value);
	$value = str_replace('"', "",  $value);
	$value = str_replace("`","", $value);
	$value = str_replace("'","'", $value);
	$value = str_replace("-","-", $value);
	$value = str_replace("<","", $value);
	$value = str_replace(">","", $value);
	$value = str_replace(">","", $value);
    $_REQUEST[$key] = $value;
}

foreach ($_POST as $key => $value)
{	
    
	$value = str_replace('"', "", $value);
    $value = str_replace("'", "", $value);
	$value = str_replace("select", "", $value);
	$value = str_replace("SELECT", "",  $value);
	$value = str_replace("UPDATE", "",  $value);
	$value = str_replace("update", "",  $value);
	$value = str_replace("delete", "",  $value);
	$value = str_replace("DELETE", "",  $value);
	$value = str_replace("UNION", "",  $value);
	$value = str_replace("union", "",  $value);
	$value = str_replace('"', "",  $value);
	$value = str_replace("`","", $value);
	$value = str_replace("'","'", $value);
	$value = str_replace("-","-", $value);
	$value = str_replace("<","", $value);
	$value = str_replace(">","", $value);
        $_POST[$key] = $value;
}