PHP'de SQL injection Güvenliği - Makale - Sayfa 2

14-02-2010, 12:11:31

#10

Invictus adlı üyeden alıntı: mesajı görüntüle

paylaşım için saol.

integer olan alanlar için intval kullanılabilir.

$id = $_GET['id'];
$id = intval($id);

ya da direk

$id = intval($_GET['id']);

int alanları için genelde intval kullanıyorum bende pratik çok...

makale için tşkler...

14-02-2010, 13:20:14

#11

~~NeonWeb~~

Üyeliği durduruldu

SefaCan adlı üyeden alıntı: mesajı görüntüle

int alanları için genelde intval kullanıyorum bende pratik çok...

makale için tşkler...

ben teşekkür ederim paylaştıklarında bende paylaşacağım

14-02-2010, 14:07:35

#12

~~sdemirkeser~~

Üyeliği durduruldu

THR adlı üyeden alıntı: mesajı görüntüle

süleyman hocam upload la ilgili bir video yayınlayacaktınız yayınladı mı o ben mi kaçırdım?

video hazir hocam bugun linkleri geciyorum daha once alanlara

14-02-2010, 15:06:38

#13

~~JustGo~~

Üyeliği durduruldu

if (!is_numeric($_GET['id']) || empty($_GET['id']){


$veriId = 1;

}else {


$veriId = intval($_GET['id']);

}

// sonra sql sorgum ve veri çekme vs.
$query = mysql_query ("SELECT id,veri FROM veritablo WHERE id ='".$veriId."' ");

ben urlden sadece id yolluyorum ve çekerken şu şekilde çekiyorum.

Yapmam gereken başka birşey yok sanırım, id çekerken url den

14-02-2010, 15:13:12

#14

~~NeonWeb~~

Üyeliği durduruldu

JustGo adlı üyeden alıntı: mesajı görüntüle

if (!is_numeric($_GET['id']) || empty($_GET['id']){


$veriId = 1;

}else {


$veriId = intval($_GET['id']);

}

// sonra sql sorgum ve veri çekme vs.
$query = mysql_query ("SELECT id,veri FROM veritablo WHERE id ='".$veriId."' ");

ben urlden sadece id yolluyorum ve çekerken şu şekilde çekiyorum.

Yapmam gereken başka birşey yok sanırım, id çekerken url den

Merhaba,
ASlında Birçok yolu var ancak, çoklu işlemlerde mysql real daha uygun gibi,
gerek veri aramada, gerek veri filtrelemede ama sayısal değerler için intval ve is_num, makul.

14-02-2010, 15:42:22

#15

Twinsens

Kimlik doğrulama veya yönetimden onay bekliyor.

sölede yapabılırsınız bir fonksiyon yazarak aşağıdaki fonksiyona ekleme veya eksilme yaparak tum yapılabilecek saldırıları bu nu ornek guvenlik.php olarak kaydedıp ıstedıgın dosyalara include("guvenlik.php"); olarak cekerek
ornek su sekılde kullanabılırsın

$guvenli_id=guvenlik($_GET["id"]);

ve diger postlar ıcınde aynı sekılde

$guvenli_id=guvenlik($_POST["formalani"]);

gibi

function guvenlik($q) { 
 $q = str_replace("`","",$q); 
 $q = str_replace("&","",$q); 
 $q = str_replace("%","",$q);  
 $q = str_replace("'","",$q); 
 $q = str_replace(")","",$q);
 $q = str_replace("(","",$q);  
 $q = str_replace("<","",$q);  
 $q = str_replace(">","",$q);  
 $q = str_replace("insert","",$q);
 $q = str_replace("delete","",$q);
 $q = str_replace("update","",$q);    
 $q = str_replace("like","",$q);
 $q = str_replace("where","",$q);  
 $q = str_replace("union","",$q);  
 $q = str_replace("having","",$q);  
 $q = str_replace("create","",$q);
 $q = str_replace("cookie","",$q);   
 $q = str_replace("COOKIE","",$q);  
 $q = str_replace("IFRAME","",$q); 
 $q = str_replace("iframe","",$q); 
 $q = str_replace("%3Ciframe","",$q);
 $q = str_replace("javascript","",$q);  
 $q = str_replace("DOCUMENT","",$q);
 $q = str_replace("script","",$q);
 $q = str_replace("SCRIPT","",$q);
 $q = str_replace("Script","",$q);
 $q = str_replace("<meta","",$q);
 $q = str_replace("%3Cscript%3C","",$q);
 $q = str_replace("<script>","",$q);
 $q =trim($q);
 return $q; 
}

14-02-2010, 15:59:54

#16

~~NeonWeb~~

Üyeliği durduruldu

Twinsens adlı üyeden alıntı: mesajı görüntüle

sölede yapabılırsınız bir fonksiyon yazarak aşağıdaki fonksiyona ekleme veya eksilme yaparak tum yapılabilecek saldırıları bu nu ornek guvenlik.php olarak kaydedıp ıstedıgın dosyalara include("guvenlik.php"); olarak cekerek
ornek su sekılde kullanabılırsın

$guvenli_id=guvenlik($_GET["id"]);

ve diger postlar ıcınde aynı sekılde

$guvenli_id=guvenlik($_POST["formalani"]);

gibi

function guvenlik($q) { 
 $q = str_replace("`","",$q); 
 $q = str_replace("&","",$q); 
 $q = str_replace("%","",$q);  
 $q = str_replace("'","",$q); 
 $q = str_replace(")","",$q);
 $q = str_replace("(","",$q);  
 $q = str_replace("<","",$q);  
 $q = str_replace(">","",$q);  
 $q = str_replace("insert","",$q);
 $q = str_replace("delete","",$q);
 $q = str_replace("update","",$q);    
 $q = str_replace("like","",$q);
 $q = str_replace("where","",$q);  
 $q = str_replace("union","",$q);  
 $q = str_replace("having","",$q);  
 $q = str_replace("create","",$q);
 $q = str_replace("cookie","",$q);   
 $q = str_replace("COOKIE","",$q);  
 $q = str_replace("IFRAME","",$q); 
 $q = str_replace("iframe","",$q); 
 $q = str_replace("%3Ciframe","",$q);
 $q = str_replace("javascript","",$q);  
 $q = str_replace("DOCUMENT","",$q);
 $q = str_replace("script","",$q);
 $q = str_replace("SCRIPT","",$q);
 $q = str_replace("Script","",$q);
 $q = str_replace("<meta","",$q);
 $q = str_replace("%3Cscript%3C","",$q);
 $q = str_replace("<script>","",$q);
 $q =trim($q);
 return $q; 
}

Hocam ASlında Kullanılabilir, ama sistemin kendi fonksiyonlarından başka ben kullanmıyorum, yukardaki fonksiyon mutlaka aşılabilir

14-02-2010, 16:00:57

#17

aLKaDraZ

//GÜVENLİK|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
$queryString = $_SERVER['QUERY_STRING'];  
$modul_guvenlik= addslashes(mysql_real_escape_string($_SERVER['QUERY_STRING']));  
$veri = implode('', $_GET);
if(preg_match( "#<html|<head|<script|<style|<meta|<body|<input|<form|<object|<applet|iframe|<img#si",  $veri))
{
die('Hata!!-Bilgisayarınızın ipsi kontrol için kaydedildi!');
}

Yukarıdaki kod daha kısa belki işinize yarar

Zihin açmış olur. Ben bazı scriptlerimde kullanıyorum..