sql injection yememem için
yani hacklenmemem için bir php scripti yazarken nelere dikkat etmeliyim
Bunlar hakkkında bilgi verirseniz sevinirim
sql injection yememem için
23
●2.994
- 20-06-2007, 22:45:23burdan ayrıntılı inceleyebilirsin ferruh mavitunanın sql injection saldırıyla ilgili bir çok yazısı sitesinde mevcut
SQL Injection - UNION ile Data Okuma
SQL Injection Derslerine Giriş - 20-06-2007, 23:34:29bu daha çok asp ile örnek vermiş bana php lazımredbaron adlı üyeden alıntı: mesajı görüntüle
teşekkürler - 20-06-2007, 23:46:10üyelik sistemlerinde session kullan, sistem hack edilse dahi kendi ve üyelerinin güvenliği için şifrelerin md5 halini veritabanına ekle.
get veya post ile veri alırken ilk başta addslashes ile sonrada mysql_escape_string ile kontrol et.
siteadresi.com/x.php?id=1 şeklinde sadece idye göre veri okuyorsan, sql sorgusunun içine atmadan önce
is_int() is_numeric()
yukarıdaki fonksiyonlar x.php?id=1 mevzusunda id ile gelen değerin numerik olup olmadığını kontrol edebilirsin. hekır amcalar,
http://www.siteadi.com/x.php?id=1; INSERT INTO yonetici ( kullaniciadi, sifre, seviye) VALUES ('hekir',’hekirsifre‘, '1')
böyle bir sql sorgusu yolladığında is_numeric fonksiyonu gelen verinin integer/string olduğuna bakmaz sadece numerik olduğuna bakar.
if (!isnumeric($POST['id']) { echo "hop evladım"; // isteğe bağlı buraya exit(); meta yönlendirme konulabilir. }ben bu yöntemleri kullanıyorum, hüso mahlas ozinga daha iyi bilir bu mevzuları - 20-06-2007, 23:56:19
Misafir - 21-06-2007, 00:01:49şimdi deneme amaçlı bir script yazıyorum
şöyle bir kod kullandım
<?php
$sor = mysql_query("SELECT id,ad,kid FROM gazete WHERE kid='1' ORDER BY id ASC");
while($yaz=mysql_fetch_array($sor)){
$ad = $yaz["ad"];
$id = $yaz["id"];
echo "<a href='oku.php?id=$id'>$ad</a><br>";
}
?>
bunu nasıl sql injection yemeyecek hale getirebilirim
bu kodu düzenlerseniz çok sevinirim
çok teşekkürler
