Blind SQL/XPATH İNJECTİON açığı nasıl kapatılır?

arkadaşlar yardım ederseniz çok mutlu olacağım sorun şu:
bitirdiğim bir sitede acunetix web scanner programıyla açık taraması yaptırdım daha sonra

1-cross site scripting açığı vardı bunu bir sayfaya filtre kod ekleyip include ile çağırıp değişkenleri süzünce hiçbir sorun kalmadı FAKAT


2-blind sql/xpath injeksiyon açığı konusun da sorun yaşadım her türlü filtreyi uyguladığımı sanıyorum yani örnek olarak(preg_replace,str_replace,mysql_real_escape_ string vb..) ama arkadaşlar bu filtreyi uyguladıktan sonra azalmasına rağmen açık sayısı genede 2 3 çıkıyor bu sorun çok büyük olaylara sebep olurmu yada bu konuda filtre uygulayan arkadaşlar varsa lütfen bana da önerirse çok memnun olacağım tşk ederim

scripti kendiniz mi kodladiniz. yani özel bir script mi yoksa elle kodlama mi?

sorunu yaşadığım konuda filtreyi ben yaptım kodda şu şekilde:
function injek($string)
{$search = array(',','?','*','‘','OR','AND','%','&','$','>',' =','--','xp_','!','–','#','like','drop','create','modify ','rename','alter','cast','join','union','where',' insert','delete','update',"'","+","-","and","or","LIKE","DROP","CREATE","MODIFY","RENA ME","ALTER","CAST","JOIN","UNION","WHERE","INSERT" ,"DELETE","UPDATE",'"');

$replace = array(' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ');

$new_text = str_replace($search,$replace,$string);
$string=mysql_real_escape_string($new_text);
return($string);
}

bu fonksiyonla süzüyorum her değişkeni yine de açık çıkıyor

teşekkürler hocam sayende bir program öğrendim

bende de aynı hatayı verdi bende htmlspecialchars ve mysql_real_escape_string (garanti olsun diye ikisinide kullandım) le hallettim gibi duruyor bakalım hayırlısı

phpclasses ın input filter sınıfı var. Ben kullanıyorum ve memnunum.

o kelimeleri engellersek mesala biri o kelimeyi yazamıcak mı başka türlü engelleyemeyiz mi?vbulletin nasıl engelliyor acaba? mesala forumda union yazıyoruz bişey olmuyor?

ya arkadaşlar ilginç bişey oldu aslında ama buna değinmeden şunu söyleyeyim thr arkadaşımın dediği kodları denedim yanlız o kodlarda yanlış bilmiyosam / ; gibi karakterleri temizliyor yani and or gibi şeyleri temizlemiyor.

ilginç olan şeyse programla bu fonksiyon filtresini uygulamadan tarama yaptırınca hiç açık vermedi çok ilginç bişey bu yani ben 2 gündür her yönden kapamaya çalıştım olmadı dedim fonksiyonsuz uygulayayım bu sefer açık vermedi sevinsem mi üzülsemmi ama hala kafamda bisürü soru işareti...

Cross site script ile web siteniz e-ticaret sitesi ise açıklarınızı kapatmanız gerekir.Fakat normal gündelik paylaşım yapılan bir site ise ortada araya girip kullanıcı bilgilerini çalıp kötü niyetli hacker kendine kazandıracağı bir şey yoksa uğraşmanıza gerek yok. Sql injection açığını da Get Komutlarınız da String varsa açık vardır.