Sql İnjection Acıgı Nasıl Kapatılır? - Sayfa 4

01-04-2014, 19:48:21

#28

saintx

Kimlik doğrulama veya yönetimden onay bekliyor.

Çok iyi horting olmuş.

hll spr dvm

01-04-2014, 20:25:35

#29

emrahakin

mysql_real_escape_string() komutunu da kullanabilirsiniz.

02-04-2014, 01:04:47

#30

Bay_Keskin

cehago adlı üyeden alıntı: mesajı görüntüle

Sen yenisin galiba?

Hakikaten bende üstteki arkadaşın yazdığı soruyu merak ediyorum. Konu eskidde siz bana dün Sen Yenisin Galiba yazmışsınız.

PDO İle yazılan Prepare ile düzenlenen ve execute edilen bir sorguya nasıl yapacaksınız ? Sen yenisin diyeceğinize bilginizi yazsanız da bizde bir görsek kim yeni ?

02-04-2014, 01:34:42

#31

saintx

@cehago; ve @Bay_Keskin; tartışmayın, lütfen!

02-04-2014, 01:38:36

#32

Bay_Keskin

saintx adlı üyeden alıntı: mesajı görüntüle

@cehago; ve @Bay_Keskin; tartışmayın, lütfen!

Ogün kardeşim tartışmıyorum ki arkadaş bana sen yenisin galiba demiş bende diyorum ki bunu diyeceğine gerçekten nasıl yedirecek merak ediyorum yazsın da ona göre önlem alalım.

03-04-2014, 18:16:17

#33

BR9

dnmtnk adlı üyeden alıntı: mesajı görüntüle

@WebLoader
htmlspecialchars() bir stringde eğer < ve > varsa onları < ve > karakterlerine dönüşümünü yapar sadece. Şimdi int bir alana böylelikle siz bir koruma sağlamış olmamaktasınız unutmayın

sadece html etiketlere karşı bir koruma sağlamış olmaktasınız..

Ayrıca SQL özel kelimelerini bir dizi de toplayıp gelen değerlerde var iseler onları deklare ederek de sonuca ulaşabilirsiniz veya yukarıdaki arkadaşların da dediği gibi integer alanları intval() veya is_numeric gibi int veri tipi kontrolüunu yapan fonksiyonlardan geçirerek sorguya dahil etmek gerekir..

strip_tags(); mysql_real_escape_string(); gibi komutlarda çok önemli.

30-04-2014, 16:37:17

#34

samsunikinciel

xSS-ErrOr adlı üyeden alıntı: mesajı görüntüle

Arkadaşlar php de yeniyim ilk scriptim olarak bir makale scripti yazdım.

Makaleyi ve kategoriyi okurken id yi get metodu ile cekiyorum buda sql injection acıgını olusturuyor.

makaleoku.php

<?php
include("baglan.php");
include("bilgi.php");
$id=$_GET['id'];
$icerik=mysql_fetch_array(mysql_query("select * from makale where id='$id'"));


$kategori = $icerik[kategori];
$baslik = $icerik[baslik];
$seobaslik = $icerik[seobaslik];
$resim = $icerik[resim];
$kisamakale = $icerik[kisamakale];
$uzunmakale = $icerik[uzunmakale];

?>

Burada neler yapmam gerekir.

$id=mysql_real_escape_string(intval($_GET['id']));

30-04-2014, 20:44:26

#35

Deve

Arkadaşlar mysql tarih oldu, yakında kalkacak,
mysqli veya Pdo kullanın.

mysqli_real_escape_string();

i harfi ile.

30-04-2014, 21:47:16

#36

rodrane

Kimlik doğrulama veya yönetimden onay bekliyor.

Bu konu hakkında makale yazmıştım. http://aristona.github.io/web-gelist...reken-konular/

- mysql_real_escape_string() sizi SQL Injection'dan korumaz. ve - Kullanıcıya güvenmeyin ama aşırı paranoyak olmayın. Ne gerekiyorsa onu temizleyin. bölümlerini okumanızı tavsiye ederim.