Php'de nasıl güvenlik sağlarsınız?

birde postgresql incelemeni tavsiye ederim mysql milyonlardan sonra çoşar

heleki lisanslı mysql üzerinde hazırlanmışsa tadından geçilmez

Piyasada gördüğün hiçbir büyük site wiki hariç mysql kullanmaz kullanan var mı cidden bilmiyorum. wikininde mysql ile bir ilişkisi wra o yüzden kullanıyor diye biliyorum yanlışda olabilir. Kullansalar zaten görürler ebelerinin nerde oldugunu, basit pro ne yazarsan yaz bi yerde muhakkak kendinden geçecektir. Sağlayıcılarda haklı bedava kuruyorlar direk ohh ne rahat, coderler öğrenmiş mysql fonksiyonları oysaki bir postgresql bir firebird arasında hiç bi fark yok. ögrensek ne fayda saglayıcımız yok.

Facebook

Ona bakarsanız genelde kurumsal firmalar, devlet daireleri, üniversite gibi yerler de PHP kullanmaz. Bu PHP nin yetmeyeceği anlamına mı gelir?

Neyse konu dışına taşmasın. Mysql in yetmediği yerde alternatif çözümler üretilebilir.

facebook oracle kullanıyor.

valla tüm bilgileri tek tek okuyorum.Teşekkürler bilgiler için

Mysql kullanıyor.


Diğer konuya gelince türkiyedeki hackerlar belli genelde sql injection,rfi ile hack ediliyor yada sosyal mühendislik ile o yüzden

• 10 20 tl fazla verin adam gibi bir firma ile çalışın Godaddy,sadecehosting,isimtescil gibi
• Sql sorgularınızdaki get ile alınanlara göre kontrol edin yani şöyle kullanıyorsunuz ; haber.php?id=1 şimdi böyle bir sorguda $id = (int)$_GET['id']; yapsanız bile sql injectiondan kurtulmuş olursunuz
• Get ile alınan verileri her zaman kontrol ettirin mesela "<" ve "%3C" her zaman temizletin
• Get ile gelen verileri herzaman sefleyin yani şöyle bir sayfanız var ; haber.php?id=1 herhangi bir sql bilginizde yok haber.php?id=;show+databases; yapıldıgında get ile geleni sef e cevirmezeniz sql e şöyle gider select * from haberler where id=1;show databases; olarak fakat sef e çevirirseniz ; select * from haberler where id=1;show-databases; tabi sql sorgusu çalışmaz hackerda amacına ulaşamaz
• Get ile gelen verileri her zaman kontrol ettirin mesela gelen istekte union select show information.schema var mı yokmu eğer var ise direk scripti sonlandırın
• Gerekmedikçe get i ekrana yazdırmayın yani makale_oku.php?id=1 buna yorum_yaz.php?id=$_GET['id'] yapmaktansa yorum_yaz.php?id=$row['makale_id'] yapın
• Get ile gelen isteklerin karakter sayılarını kontrol edin

Bunları yaparsanız php de güvenliğe fazla kafa yormazsınız -ki ben sadece veritabanı güvenliğinden bahsettim diğer güvenliklerdende arkadaşlar bahsetmişler zaten.

Güvenlik için kendi açımdan bilmediğin zımbırtıyı(değerleri) projelerimde kullanmıyorum.
En basitinden SQL INJ. saldırılarına karşı POST ve GET süper global değişenleri filtreliyorum.
strip_tags,mysql_escape_string gb.
Değer karşılaştırmasını rakamsal olarak yapiyorsanız ki bence doğru olan budur.Mutlaka intval(); yada is_numeric(); kullanımını tavsiye ediyorum.
Özellikle üyelik scriptlerinde cookie yerine session kullanmak daha sağlıklı olur.Eğer fazla gelişmiş bir üyelik değil ise.

Kendi düşünceme göre aklıma ilk gelen bunlar.Başkada gelmiyor.