Php'de nasıl güvenlik sağlarsınız?

en iyisi bildiğin yol diyorsun yani

tam güvenlik diye birşey yoktur
olsa anbe an bug çıkmaz.

bu konuda atalarımız ; "el elden üstündür" demiştir.

bu yüzden elimizden gelenin en iyisini yapıp
sadece php değil hack konularına'da merak salmak gerekiyor.

GET ile alınan veriler integer ise sadece integer veri tipindeki veriye izin verilmesi gerekmektedir.
örneğin

<?php
$id = $_GET['id'];
if ( ! is_numeric($id) )
    die("hack girişimi..");
// Veya
$id = (int)$_GET['id'];
// Veya
$id = intval($_GET['id']);
// Veya
$id = is_numeric($_GET['id']) ? $_GET['id'] : 0;
?>

String verilere gelince de. Kullanıcıların veri ekleyebileceği yerler mutlaka strip_tags() ile html kodlardan temizlenmeli ayrıca SQL injection ataklarını önlemek için de mysql_real_escape_string ile filtrelenmeli . Filtrelenen bu veriyi de şu şekilde kullanmak gerekmektedir.

$SQL = "SELECT * FROM tabloadi WHERE kolonadi = '{$filtrelenenVeri}'";

Umarım yanılmıyorumdur.

strip tags ve real_escape bir işe yaramaz örneğin


burada bir sql injetion var fakat jet database oldugundan işlemler engelleniyor gördüğünüz gibi herhangi bir tırnak veya html kod mevcut değil

FAcebook'un Oracle kullanmasındaki sebeblerden birisi Oracle güvenlidir. çünkü çoğu hack konuları mysql üzerindedir.

Bir diğeri asıl önemli konu olan yüksek kayıt gerektiren durumlarda Oracle kullanılır. Örneğin 200 bin satır dan fazla kayıt varsa Oracle kullanılır . Hız ve daha öneli şeylerde devreye giriyor.

@redZ linki kaldır istersen hacklenir falan gerek yok.

Pardon dalgınlıgıma gelmiş

bende kendi güvenlik yöntemlerimi anlatayım.

1. şifreleme normal md5 kullanırım ve bunun sonuna da site_anahtari dedigim md5 lenmiş bir anahtar olur. böylece giriş yaparken hem şifreyi bilmesi hemde site anahtarını bilmesi gerekir. yani şifre 123456 bile konsa bir şekilde DB deki şifrelere ulaşsa. site anahtarını bilmediği için o şifreleri çözmesi zor olur (! imkansız değildir).

2. herhangi bir resim yüklemede php nin getimage size fonksiyonunu kullanırım böylece XSS lerden sahte resimlerden kaçınmış olunur.

3. veri türüne göre kontrol fonksiyonları yazarım. yani

$query = select * from urunler where id = '$id';

tarzında integer değer çeken bir sorguda ne kadarda mysql_real_espace_string te kullansanız injection yolu var. burada söylemeyeceğim yolu.
bundan kacınmak için is_numeric kullanırım böylece gelen veriyi ilk süzme işlemi gerçekleşir.

4. $_SESSION olarak ise genelde kullanici adi ve hashlanmis kullanici adi yaratirim ve session_path vs yi sadece domain uzerinde gosterilecek olarak tanimlarim . boylece hatalı bır hosting ayarında başka site üzerinden sezonların gözükmesini engellerim. ve herhangi giriş yapan üyenin sezonlarını veritabanındakiler ile karşılaştırır eğer herşey düzgünse işleme devam ederim. değilde ekrana şu çıkar benim Motto m.

echo 'Yapma etme usta yani ne gerek var buna';

5.Cookie leri genelde TREE,breadcrumb(ekmek kırıntısı) tarzı çok lu menülerde bulunduğu yeri tanımlamak için kullanırım. ve cookieleri genelde hashlanmiş şekilde gönderirim. geri döndüğünde kontrol ettiririm.

Büyük ölçekli sitenin performansına etki edermi derseniz bu şeyler. biraz eder ama öyle ahım şahım olmaz.

Zend konferansından bir kaç söz aşağıda yazılı. okursanız demek istediğimi anlarsınız.

1. en kısa kod her zaman en hızlı kod değildir.
2. kodu kısaltmak bir çok zaman performans açısından etkisi az olur.
3. yorum satırları performansı düşürmez.
4. sitenizdeki kodları optimize etmek için bir codera vereceğiniz para yerine serverınıza donanım eklentisi yapmak çok daha avantajlıdır. aynı paraya 3 kat performans alabilirsiniz.

teşekkür ettim . bildiklerimi paylaştım.. eğer hatam var ise olumlu ve olumsuz eleştirilerinizi bekliyorum.

herkese iyi çalışmalar dilerim.esenlikle kalın. (haber sunucusu gibi oldu ama neyse)..

500,000 kayitli herhangi bir sorun yasamadigim mysql tablolari mevcut. oracledada sonucta sql injection soz konusu. onda farkli filtreler uygulamaniz gerekiyor. burdaki tek etken performans.