0
Kayıt Ol

Güvenlik ile ilgili kod paylaşımları

3

325

  • 06-12-2012, 15:53:45
    #1
    oguzhanakkin
    oguzhanakkin
    Üyeliği durduruldu
    Merhabalar arkadaşlar forumda aradım ancak bulamadım onun için açıyorum bu konuyu.

    Güvenlik konusu çok önemli biliyorsunuz ki.
    Bildiğimiz kodları / teknikleri burada paylaşırsak hepimiz yararlanabiliriz...
    Ben başlayayım;

    id ler eğer int olarak geliyor ise
    intval($id) fonksiyonu ile koruyabiliriz. $id değişkenindeki string her türlü yazıyı temizler sql injection için bir önlem diyebiliriz...
  • 06-12-2012, 18:14:47
    #2
    netster
    netster
    Formdan gelen POST ve GET verilerini de filtreden geçirmeden göndermiyoruz..


     mysql_real_escape_string($_POST['gelenveri']);
  • 06-12-2012, 18:44:55
    #3
    digiklan
    digiklan
    Şimdi yazdığım bir kod ilham vermesi açısından hata verebilir.
    Öncelikle sadece filtre fonksiyonları yetmez.
    Oraya değişkeni farklı şekillerde sokabilirler, encode gelebilir, ascii karakterler ile gelebilir, önce bir kontrol koymak en doğrusu. Veri tipi beklediğiniz uzunlukta ve karakterlerde değilse direk reddetmek lazım. Beklediğiniz türdeyse kabul ve filtreleme...

    function guvenlik($degisken){
	if(is_array($degisken)){
		return array_map('mysql_real_escape_string', array_map( 'htmlspecialchars' , $degisken, array_fill(0 , count($degisken) , ENT_QUOTES) ));
	}else{
		return mysql_real_escape_string(htmlspecialchars($degisken,ENT_QUOTES));
	}
}
// verileri array olarak ya da string olarak atabiliriz fonksiyona

$_GET = guvenlik($_GET);
$_POST = guvenlik($_POST);
$_COOKIE = guvenlik($_COOKIE);
  • 06-12-2012, 19:08:08
    #4
    msgr
    msgr
    digiklan adlı üyeden alıntı: mesajı görüntüle
    Şimdi yazdığım bir kod ilham vermesi açısından hata verebilir.
    Öncelikle sadece filtre fonksiyonları yetmez.
    Oraya değişkeni farklı şekillerde sokabilirler, encode gelebilir, ascii karakterler ile gelebilir, önce bir kontrol koymak en doğrusu. Veri tipi beklediğiniz uzunlukta ve karakterlerde değilse direk reddetmek lazım. Beklediğiniz türdeyse kabul ve filtreleme...

    function guvenlik($degisken, $html = 'none'){
	if(is_array($degisken)){
		return array_map('mysql_real_escape_string', array_map( 'htmlspecialchars' , $degisken, array_fill(0 , count($degisken) , ENT_QUOTES) ));
	}else{
		return mysql_real_escape_string(htmlspecialchars($degisken,ENT_QUOTES));
	}
}
// verileri array olarak ya da string olarak atabiliriz fonksiyona

$_GET = guvenlik($_GET);
$_POST = guvenlik($_POST);
$_COOKIE = guvenlik($_COOKIE);

    Sanırsam bu fonksiyonu her sayfaya include ettiğimiz ayar dosyasına kaydetmemiz yeterli olacaktır?