Site bitti test sürüşüne davet ediyorum - Sayfa 2

28-09-2012, 19:27:44

#10

Kimlik doğrulama veya yönetimden onay bekliyor.

Birisi az önce siteye zarar verdi ellerine sağlık diyorum. bende veritabanıma bağlanamıyorum!

EDIT kim o hale getirdiyse diyecek birşey bulamıyorum, insan olan buldum açığını probelm şu der bu der neyse diyecek çok şey var ama gerek yok.

yedeklerden tekrar aktif hale getirdim siteyi

28-09-2012, 20:56:05

#11

fatihemre

Bir ihtimal, bu gibi durumlarda sunucuda oluşan error_log dosyası size hatanın nerede olduğunu bas bas bağırır.. Bunun dışında güzel bir log sınıfı kullanabilirsiniz. Tuttuğunuz logları iyi analiz ederseniz, hatalardan, ilgi gören alanlara kadar çok fazla olumlu dönüşü olabilir..

29-09-2012, 00:39:18

#12

oguzhan306

Valla bende anlamadım napalım birileri analarına sövdürmeyi seviyor heralde. benim o kadar detaya giripde ıbığıyla zıbığıyla uğraşacak vaktim de yok enerjimde yedekten yükler söver geçerim

29-09-2012, 03:06:28

#13

Sable

http://www.fotografdeposu.com/gunluk_icerik.php?id='asd bu tarz sayfalara bulunamadı gibi şeyler yazabilirsin ayrıca bu tarz linklere erişimi kapatmanı öneririm.

29-09-2012, 08:16:20

#14

oguzhan306

Sable adlı üyeden alıntı: mesajı görüntüle

http://www.fotografdeposu.com/gunluk_icerik.php?id='asd bu tarz sayfalara bulunamadı gibi şeyler yazabilirsin ayrıca bu tarz linklere erişimi kapatmanı öneririm.

bunu nasıl yapcaz

29-09-2012, 10:37:00

#15

~~EuroTurk~~

Üyeliği durduruldu

Get ile çektiklerini mesela şu fonksiyon ile süzdürebilirsin
function g($par){
return strip_tags(trim(addslashes($_GET[$par])));

örnek : g("veri");
id'yi alıyorsaın intval fonksiyonunu kullanabilirsin.

Hata sayfaları için ise .htaccess kullanarak 404 sayfası olusturp yönlendirebilirsin.
Hayırlı olsun tebrikler bu arada

29-09-2012, 11:03:34

#16

oguzhan306

session konusuyla ilgili google amca üzerinde biraz arandım ama aradığımı bulamadım bütün anlatım ve örneklemeler şifreyle giriş mevzuları üzerinde yazılmış.

şöyle birşey yapmak mümkün mü session ile oturum açsa ip ye göre. sonra birim zamanda (mesela 1dk içinde) belli bir hit miktarından sonra kullanıcıya 5-10 dk felan siteye kapatsa ya da ekrana bir yazı verip müdür ne iş biraz soluklan felan gibi bir uyarı verse?

en azından belirli bir saldırı tipinden kurtulmuş olurum diye düşünüyorum. mantıklı mı? yoksa bunun daha farklı bir yapılış şekli felan var mı?

29-09-2012, 11:52:16

#17

ruvec

pek fazla incelemedim ama bi yerde xss/sql injection açığı gördüm. pm gönderdim.

get metodu ile aldığın id parametresi verilerini filtreye sokmalısın.

function filtre($id) {
return strip_tags(trim(addslashes($_GET[$id])));
}

örnek kullanım:

$id = filtre($_GET['id']);

yada sadece intval() fonksiyonunu kullanarak id parametresi için sayı alabilirsiniz.

29-09-2012, 19:23:55

#18

Hkan

ruvec adlı üyeden alıntı: mesajı görüntüle

pek fazla incelemedim ama bi yerde xss açığı gördüm. pm gönderdim.

get metodu ile aldığın id parametresi verilerini filtreye sokmalısın.

function filtre($id) {
return strip_tags(trim(addslashes(intval($_GET[$id]))));
}

örnek kullanım:

$id = filtre($_GET['id']);

intval ile sadece rakamsal değerleri aldığınız bir değişkende ne diye addslashes, trim ve strip_tags kullanıyorsunuz? Yanlış anlamayın bilgilendirmek için söylüyorum ama son derece gereksiz bir fonksiyon olmuş bu.