Php'de nasıl güvenlik sağlarsınız?

Bahsettiğin fonksiyon sql sorqularında işe yarar. XSS açıklarını engellemek için yukarıdaki fonksiyonları kullanabilirsin. Bunun için yazılmış fonksiyonlar vs bulabilirsin.

Yukarıda da dediğim gibi XSS açığına sebep olur. Bu açığı nette biraz araştırmanı tavsiye ederim.



Sadece getimagesize ile kontrol yaparsan php uzantılı bir kodun ilk satırına GIF89a; kısmını koyarak sunucuya bu dosyayı .gif dosyası gibi gösterebilirsin. sdemirkeserin dediği gibi dosya uzantılarını kontrol ederek, ve yukarıda dediğim gibi dosyayı ikillik açıp içinde mysql, javascript, <?php , gibi zarar meydana getirebilecek kodları aratabilirsin.

Panel şifrelemeden kastın, yönetici şifrelerini korumak mıdır ? Eğer demek istediğin buysa ben şifreleri 2-3 kere md5 ile şifrelerim. sha şifreleme yöntemini de incele tabii. Ayrıca brute force( deneme yanılma ile şifre tespiti) denilen saldırıların önüne geçebilmek için güvenlik kodu koymanı tavsiye ederim.

uzantisi php olmadigi surece sunucu tarafinda yorumlanmadigindan dosyayi acmayabile gerek kalmamis olur

anladığım kadarıyla bu şekilde hazırlanmış bir linki başkasına yedirirsek, yani tıklamasını sağlarsak açık oluşuyor. cookie leri okutmak gibi.





denedim ve işte sonuçlar;
-php dosyasının başına GIF89a; ekledim ama uzantısını php olarak bıraktım. getimagesize() hiçbirşey döndürmedi. ben buradan dönen değeri if..else soktuğum için bir sorun oluşturmaz

-aynı dosyanın uzantısını gif yaptım. getimagesize() gif zannetti. ama bu seferde server da php compiler tarafından bir işleme girmeyeceği için yine bir güvenlik açığı oluşturmaz.

zararlı kodlar içeren bir dosyayı nasıl resim olarak gösterip, sonra da server tarafından php dosyası olarak işlenmesi sağlanır?

not: bu soruları gerçekten öğrenmek için soruyorum, ukalalık gibi algılanmasın. yeni bir script kodluyorum ondan merak saldım.

peki yönetici panelini şifrelemek dışında, yönetici klasörünü cpanelden .ht ile şifrelesek güvenlik açısından sorun teşkil eder mi?

sdemirkeser ; ne yazık ki basettiğimiz upload işlemi sandığımız kadar basit değil. Yani sadece uzantıyı kontrol edip güvenli olduğumuzu düşünmemek gerekir.

http://www.acunetix.com/websitesecur...rms-threat.htm

acunetix şirketinin bir makalesi var. İngilizce olan bu makale gerçekten faydalı duruyor. case 3, case 4 ve case 5 kısımlarını okumanızı tavsiye ederim. Ben anlayabildiğim kadarına baktım.

--

MC_delta_T ; belki eksik yazdım, belki de eksik anladın. Ama sadece getimagesize kullanmak tehlikeli. Dediğim gibi bunu acı bir tecrübe ile anladım... Ne demek istediğimi anladın sanırım.

İlk mesajlarda verdiğim pdf dosyasını, ve bu mesajda verdiğim makaleye göz atınız.


echo ; muhtemelen daha güvenli olur. Ama emin değilim.

Aldığım veriyi aşağıdaki şekilde temizlerim:

$veri = !empty($_GET['veri']) ? $_GET['veri'] : 'Bi şey yazılmamış. Ne ayak?';

if (is_numeric($veri))
	$veri = (int) $veri;
else
	$veri = htmlspecialchars($veri, ENT_QUOTES);

Şifreleri veritabanında bi güzel SHA1'lerim. Gibi gibi...

şimdi benim kullandığım mantık şöyle;

upload edilen dosyayı geçici bir klasöre alıyorum. getimagesize() bilgilerini alıyorum. 2 key numaralı değeri switch case e sokup oradan bir uzantı alıyorum. ayrıca dosyanın adını da komple ben oluşturuyorum. yani kullanıcının upload ettiği dosyanın adı ne olursa olsun server da benim istediğim şekilde bulunabiliyor.

geçici klasördeki dosyayı da kontrolden hemen sonra siliyorum ve burada da random isimler ile kayıt ediyorum.

şimdi bu mantıkta güvenlik açığı oluşabilir mi? verdiğin linkteki örnekler hep kullanıcının upload ettikleri dosyanın orijinal ismi ile ilgili. ben onu hiç kullanmıyorum ama.

Tamam, sen getimagesize ile birlikte dosya uzantısınıda kontrol ediyorsun. Bu yöntemde sdemirkeser'e göre sorun olmaz. ( yanlış anladıysam bu noktada devreye sdemirkese girebilir ) Anladığım kadarıyla kendisi de bu yöntemi kullanıyor.

Okuduğum makalelerde bu yöntemin de ( dosya uzantısı kontrol etme ) geçilebileceğini gördüm. Bana göre bu yöntem de güvenli değil.

Az önce bağlantısını verdiğim makaleden bir bölüm.

dosyanin uzantisi .gif olduktan sonra icerisinde milyon tane php kodu yazsa ne farkederki. sonucta sunucu onu php olarak yorumlamaz. gereksiz stres yapiyorsunuz bu konuda.az onceki makalede belirttigi sey calisabilmesi icin zaten htaccess uzantili dosyada upload edebilmesi lazim. nihayetinde sen sadece jpeg uzantisina izin veriyorsan mesela bir sorun teskil etmemis olacak.