$_GET İstekleri için Güvenlik Önerileri
17
●410
- 14-12-2018, 00:46:26foreach ($_GET as $key => $val) $get[$key]=filtre_fonksiyonlari($val);
artık tüm getleri $get olarak gönül rahatlığı ile çağırın
* filtre_fonksiyonlari olarak: trim ve html_special kullanılabilir. html_entities de olabilir. Güvenlikte tercih sizin.
* foreach yerine array_map araştırılabilir. - 14-12-2018, 00:51:15
- 14-12-2018, 02:00:10int ile tür dönüşümü ve sonrası intval sanırım yeterli derecede güvenlik sağlıyor.redneksi adlı üyeden alıntı: mesajı görüntüle
- 14-12-2018, 13:26:28Kimlik doğrulama veya yönetimden onay bekliyor.Çok açık uçlu bir soru olmuş bu. Get'e karşı neyin güvenliğini alacaksınız? Size burada 10 sayfa yazı yazılabilir.
Sql injection mı, xss mi, csrf mi neye önlem alacaksınız?
Ama en önemli kuralı söyleyeyim gerisini siz bulun.
Input filtrelenir, output escape edilir.
Input (Girdi) esnasında veri filtrelenmelidir yani validation'dan geçmelidir. Fakat veritabanına yazarken escape edilmez.
Veriyi "Prepared Statements" kullanarak zararsız bir şekilde veritabanına yazabilirsiniz (içinde zararlı şeyler olsa da yazma sırasında bir etkisi olmayacağından
veriyi olduğu gibi saklamış olursunuz).
Output (Çıktı) escape edilmelidir yani veritabanından çekildikten sonra kullanılmadan önce zararlı mı değil mi diye kontrol edilir.
Verinin her zaman orjinalini saklamak iyidir. Çok paranoyak olmaya gerek yok. PDO kullanın. Biraz dikkat edin. Sorun kalmaz.
