Daha hızlı sorgular? Ve SQL Inj. - Sayfa 2

05-01-2011, 00:52:39

#10

bunun bir çözümü yokmuş gibi bu tür bir filtrelemeye girmeye ne gerek var ya ben select gibi ingilizcede sıkça kullanılan bir veri girmem gerekiyorsa url e napçaz

?

mysql_escape_real_string(htmlspecialchars(stripsla shes(urldecode($_GET["query"]))));

bu 4 ünün karşımı galiba güzel olur gibi ama denemeden bir şey diyemem

05-01-2011, 22:11:21

#11

~~D3LLy~~

Üyeliği durduruldu

Tontonq adlı üyeden alıntı: mesajı görüntüle

bunun bir çözümü yokmuş gibi bu tür bir filtrelemeye girmeye ne gerek var ya ben select gibi ingilizcede sıkça kullanılan bir veri girmem gerekiyorsa url e napçaz

?

mysql_escape_real_string(htmlspecialchars(stripsla shes(urldecode($_GET["query"]))));

bu 4 ünün karşımı galiba güzel olur gibi ama denemeden bir şey diyemem

++++++++
katılıyorum
benim kullanıcı adım union da olabilir..

ayrıca sadece "mysql_real_escape_string" yeterli integer verilerde işe yaramaz. onun içinde casting yapmak laızm intval() vs..

06-01-2011, 10:33:44

#12

Efe4ka

bende formdan gelen verileri .= ile birleştir sonra, yasak kelimeleri in array de arat veya direk mysql real escape string kullan.

06-01-2011, 12:52:21

#13

Tontonq

Efe4ka adlı üyeden alıntı: mesajı görüntüle

bende formdan gelen verileri .= ile birleştir sonra, yasak kelimeleri in array de arat veya direk mysql real escape string kullan.

yasak kelime kullanma taraftarı değilim sonuçta bir çoğunuz sef link kullaniyorsunuz sql injectionla ilgili bir blog yazısı yazarsanız url de şu şekilde olursa

http://www.com/union-select-tarzi-in...ma-blabla.html

gibi bu linke tiklamaya çalışan filtreye takılır , ayrıca bir çok kişi var şifresinde ",' gibi özel karakter kullanan

06-01-2011, 20:40:36

#14

bafrali55

Kimlik doğrulama veya yönetimden onay bekliyor.

Ben bu sekilde kullaniyorum

function no_injection($string){
	$string = htmlspecialchars($string);
	$string = trim($string);
	$string = stripslashes($string);
	$string = mysql_real_escape_string($string);
return $string;
}

gönderilen veride:

$_GET['query'] = no_injection($_GET['query']);

07-01-2011, 08:32:23

#15

Efe4ka

Tontonq adlı üyeden alıntı: mesajı görüntüle

yasak kelime kullanma taraftarı değilim sonuçta bir çoğunuz sef link kullaniyorsunuz sql injectionla ilgili bir blog yazısı yazarsanız url de şu şekilde olursa

http://www.com/union-select-tarzi-in...ma-blabla.html

gibi bu linke tiklamaya çalışan filtreye takılır , ayrıca bir çok kişi var şifresinde ",' gibi özel karakter kullanan

sef linkte takılır demişsiniz kodunuzu doğru yazarsanız o yasak kelimeleride filtreye takmadan kullanabilirsiniz. ayrıca nedir bu SEF link sevdası id + seflink kullanmanın ne zararı var bilmiyorum. google 1 saatte indexleriyor, id li de olsun id sizde.