0
Kayıt Ol

Bu kullanımlarda güvenlik sorunu oluşurmu?

16

840

  • 31-08-2009, 11:03:26
    #10
    dnmtnk
    dnmtnk
    Kimlik doğrulama veya yönetimden onay bekliyor.
    get değil de post ile yap ama actiona admin.php?sayfa=kontrol diyerek de post kontrolü yapabilirsin yoğurdu yeme tarzını bulmak sana kalıyor.

    Alıntı
    @RSCA
    $sayfa=strip_tags($_GET['s']); // güvenlik önlemleri : strip_tags();
    tek başına strip_tags bir işe yaramaz sadece htmlleri temizlersiniz. SQL tümcelerini temizleyemessiniz veya escape edemezsiniz.
  • 31-08-2009, 11:09:42
    #11
    NiZZo_
    NiZZo_
    Eposta Aktivasyonu Gerekmekte
    dnmtnk adlı üyeden alıntı: mesajı görüntüle
    get değil de post ile yap ama actiona admin.php?sayfa=kontrol diyerek de post kontrolü yapabilirsin yoğurdu yeme tarzını bulmak sana kalıyor.



    tek başına strip_tags bir işe yaramaz sadece htmlleri temizlersiniz. SQL tümcelerini temizleyemessiniz veya escape edemezsiniz.
    String değişken post ile kontrol edilebiliyor mu üstat ?

    veritabanına veri eklemeden önce mysql_real_escape_string ile zararlı karakterleri escape edebilirsin.
  • 31-08-2009, 11:13:31
    #12
    ismailperim
    ismailperim
    JustGo adlı üyeden alıntı: mesajı görüntüle
    Saat 22:45 diyelim bunu md5'e çevirdim.Adam adam herhangi bir illegal girişimde bulunamadı, peki bu girişimi ertesi gün 22:45'te tekrar denerse başarılı olmazmı? Sonuç olarak 22:45'in md5li hali aynı olucak?
    The time() function returns the current time as a Unix timestamp (the number of seconds since January 1 1970 00:00:00 GMT).
    time() fonksiyonu o anı Unix timestamp formatında geri döner.
    time() 1970 den beri saymaya başlamış ve devamlı artan bir sayı döner.
    Bkz. 
    echo date("r","1251706277");
  • 31-08-2009, 11:15:42
    #13
    dnmtnk
    dnmtnk
    NiZZo_ adlı üyeden alıntı: mesajı görüntüle
    String değişken post ile kontrol edilebiliyor mu üstat ?
    veritabanına veri eklemeden önce mysql_real_escape_string ile zararlı karakterleri escape edebilirsin.

    mysql_real_escape_string de sadece ' " ve türevlerini escape eder örneğin bir bir boşluğu escape etmez ya da UNION ya da SELECT ya da FROM bunları escape etmez.

    hoş tabi bu bahsettiğimiz durum magic_quotes kapalı olduğu durumlarda tehlike arz eder
  • 31-08-2009, 11:52:40
    #14
    JustGo
    JustGo
    Üyeliği durduruldu
    dnmtnk adlı üyeden alıntı: mesajı görüntüle
    mysql_real_escape_string de sadece ' " ve türevlerini escape eder örneğin bir bir boşluğu escape etmez ya da UNION ya da SELECT ya da FROM bunları escape etmez.

    hoş tabi bu bahsettiğimiz durum magic_quotes kapalı olduğu durumlarda tehlike arz eder
    O zaman 
    function zararliKodlar($cevirilcekyazi) {

$zararlilar = array ('union','--');
$zararsizlar = array("uniyon","OO");
$kodcevir = str_replace($zararlilar,$zararsizlar,$cevirilcekyazi);

}

$url = zararliKodlar($_GET["sayfa"]);
    mesela böyle birşeyler süzebilirmiyiz örnek olarak verdim yalnışlıklar olabilir mantık olarak sadece?
  • 31-08-2009, 13:13:55
    #15
    dnmtnk
    dnmtnk
    evet
  • 31-08-2009, 13:39:58
    #16
    Misafir
    Misafir
    if (stristr($_SERVER["QUERY_STRING"],'%20union%20')) header("Location: index.php");
    gibi fonksiyonlarda olabilir.
  • 31-08-2009, 21:16:02
    #17
    BHCoder
    BHCoder
    Üyeliği durduruldu
    aşağıdaki videoda temel foksiyonların kullanışı var yardımcı olur kolay gelsin.

    http://oguzweb.blogspot.com/2009/08/...eri-video.html