injection açığı nasıl kapatılır?

28-08-2010, 13:40:43

#1

bilgicinitr

arkadaşlar injection açığı nasıl kapatılır?

28-08-2010, 14:26:24

#2

Deimosx

form post değerlerini ve get değerlerini sql sorgusuna sokmadan kontrol ettirerek
benim kullandığım fonksiyon bu

function temizle($veri){
if (ini_get('magic_quotes_gpc') == 'off') {
    $veri = addslashes($veri);
    } else {
    $veri = htmlentities($String, ENT_QUOTES);
    $veri = mysql_real_escape_string($veri); 
  }
 return $veri
}

Kullanımı

$_GET['örnek'] = temizle($_GET['örnek']);

$_POST['örnek'] = temizle($_POST['örnek']);

28-08-2010, 19:34:52

#3

forumxtr

Bunda $String yazılan yer $veri olmalı. Şöyle;

function temizle($veri){
if (ini_get('magic_quotes_gpc') == 'off') {
    $veri = addslashes($veri);
    } else {
    $veri = htmlentities($veri, ENT_QUOTES);
    $veri = mysql_real_escape_string($veri); 
  }
 return $veri
}

28-08-2010, 23:21:00

#4

bilgicinitr

Deimosx adlı üyeden alıntı: mesajı görüntüle

form post değerlerini ve get değerlerini sql sorgusuna sokmadan kontrol ettirerek
benim kullandığım fonksiyon bu

function temizle($veri){
if (ini_get('magic_quotes_gpc') == 'off') {
    $veri = addslashes($veri);
    } else {
    $veri = htmlentities($String, ENT_QUOTES);
    $veri = mysql_real_escape_string($veri); 
  }
 return $veri
}

Kullanımı

$_GET['örnek'] = temizle($_GET['örnek']);

$_POST['örnek'] = temizle($_POST['örnek']);

teşekürler
$veri; eksikmiş bitek

29-08-2010, 01:10:43

#5

Deimosx

evet ben fonksiyonu ingilizce olarak kullanıyorum,turkce değerlere dönüştürürken eksik yazmışım

30-08-2010, 11:27:17

#6

Decoding

Mantığı Kısaca; veritabanına veri kaydı yaptığın her kısımdaki veriyi kontrolden geçirmen lazım,
DELETE, UPDATE, <script , < ,> gibi şeyleri engelleyerek buna engel olabilirsiniz.

30-08-2010, 16:32:25

#7

xChernobilx

veya get metodu ile id çağırıyorsan bunun rakam olup olmadığını(is_numeric) ayrıca tek sayfa üzerinden gelebilmesini sağlamalısın