Php'de nasıl güvenlik sağlarsınız?

sorusuz onun konu anlatimi var. hocam. guvenlik ile ilgili basligi zaten sitesinde ucretsiz sample olarak vardi bir incelemenizi tavsiye ederim

süleyman abi burada https://www.r10.net/site-amp-server-a...in-sorunu.html şöyle bir konu var. bu fake symlink nedir? uygulamada oluşan bir açık mıdır yoksa sunucu ile mi alakalıdır? ben bir türlü anlayamadım bu olayı. phpyi cgi olarak kullandığımda bu olaydan etkileniyor muyum? beni aydınlatırsan çok mutlu olucam.

güvenlik kapsamlı iş.başlı başına sektor. alın sdemirkeser in cd sini sabah akşam çalışın. zaten piyasada adam gibi eğitim seti yok.

ayrıca sdemirkeser flood yapmışsın

ardarda 3 mesaj flood a giriyor hocam. affetmem kendime bile ban atarim :P
tum mesajlari detayli okumadim ama open basedir ile ilgili olduguna gore sanal link yani symlink ile (linuxtaki ln -s) klasorler baglanarak open base dir den etkilenmeden okuma yetkin olmayan klasorlere bile erisebilir oluyorsun gibi anladim.

versiyon kaynakli bir guvenlik acigi ama o versiyon olmadiktan sonra icin rahat olabilir. zaten sistemi devamli guncel tutmak esastir

1- POST ve GET ile aldıklarımı inputfilter class'ı ile kontrol ettiririm. tag kullandırtmayacaksam (int) veya mysql_real_escape_string ile temizlerim.

2- Cookide sadece daha önceden giriş için kullanılmış mail adresini saklarım ki adam session'ı biterse tekrar mail adresini yazmak zorunda kalmasın.

3- Sessionları tarayıcı, ip, sitede geçirdiği süre olarak harmanlayıp veritabanında saklarım.

4- Upload işlemlerinde verot.net in upload sınıfını kullanırım. Resmi yeniden boyutlandırır keser biçer istediğim şekle sokar ve yayınlarım. Her türlü upload içinde kullanılabilir. Tavsiye ederim

5- Panel girişlerinde güvenlik kodu kullanırım. Bunun yanında ek güvenlik sağlaması için veritabanına hatalı yapılan giriş denemelerini eklerim. Belli sayıda hata yapanın giriş denemesini işleme aldırmadan uyarı yazdırırım.

6- Genelde tek bir index dosyası ile çalışırım. O dosya switch durumuna göre ilgili modülü, diğer fonksiyonları ve geri kalan herşeyi include eder.
Include edilen modülün içinde de switch vardır. Oda modül içerisindeki dosyayı include eder.

7- Siteye eklenecek içeriklerde güvenlik kodu kullanmam. Ziyaretçiyi sıkmamaya çalışırım. Sitede yapılan işlem zamanını kontrol ettiririm. Adam 1 yorum yazdıysa 3 saniye sonra başka bir yorum yazamaz. Böylece botların veritabanımı doldurmasını engellemiş olurum.

8- Sunucu bazlı php.ini de fonksiyon kapatma, cpanel üzerinde korumalar kurma gibi standart işlemleri yaparım. CSF kullanırım. Ne kadar güvenliği sağlar tam bilmesemde firewall işte..

Daha aklıma gelmeyen birşeyler vardır muhakkak. Temel güvenlik önlemi olarak yazdıklarım ihtiyacı karşılayacaktır.

Son olarak yukarıdaki maddeler kadar önemli bir diğer maddede kendi bilgisayarınızın güvenliği. Bilgisayarınızda crackli ftp programı kullanıyorsanız, ücretli antivirüs-antimalware kullanmıyorsanız zaten daha sitenizi kurmadan kaybettiniz. Javascript virüsleri ile uğraşır durursunuz.

İyi çalışmalar.

kafama takıldı. bu yöntemde php kodlarını şifreleyip eklerse sorun olabilir mi acaba? yani kontrolü atlatabilirmi?

hiti yüksek sitelerde bu yöntem performans kaybına yol açmaz mı? bu tarz çok ekleme-silme yapılan tablolar için hangi depolama motoru daha iyidir?

buna ek olarak index sayfasında bir sabit tanımlayıp, include edilen sayfalarda da onun kontrolü yapılabilir. hasbelkader include edilen sayfanın adı bulunup direk o çalıştırılırsa sorun çıkmaz

buna sonuna kadar katılıyorum. en basitinden bir yorum yazıcan capctha ile boğuşuyon. kullanıcı dostu olmalı scriptler.

3-5 bin online olsa ne olacak. Çalışsın dursun mysql. işi ne? İyi optimize edilirse performans artışı sağlar.


Include edilen dosyada

if (!preg_match("/index.php/i", $_SERVER['SCRIPT_NAME'])) {header ('location:index.php');die();}

gibi bir kontrol olduğu için tek başına çalıştırılamaz.

Sadece php olarak düşünürsen dediğin dogru ama ne yazık ki öyle olmuyor.

Güzel yazı teşekkürler. Benim mantıgım ise kullanıcı adı, id, şifresini (şifre md5 shadan bi güzel geçtiksen sonra) sessionda saklanır ve her kontrolümde şifre ve kullanıcı adı dogrulaması mantıgına göre çalışır. ip tarayıcı gibi bilgilerle saklayıp veritabanına koymak gereksiz yük gibi geliyor şuan düşününce. Ayrıca birde güvenlik için çok log tutuyorsun buda abartı. 3-5 saniye gibi süre bekletmelerinde en iyi method da bana göre kullanıcıya yükü bindirmektir at onun tarayıcısına o şişsin sen nie veritabanını şişiresin, gereksiz sorgu yapasın

mysql i küçümsememek lazım. Ben 1 milyon+ kayıtlı, 10 alanlı tablodan 0.1 saniyenin altında veri çekiyordum. Ve bunu her ziyaretçi 30 saniyede 1 otomatik yapıyordu.
Güzel indexleyince mysql'in yapamayacağı iş yok.