0
Kayıt Ol

güvenlik için minik ipuçları

7

625

  • 17-11-2007, 20:51:35
    #1
    jagum
    jagum
    Kimlik doğrulama veya yönetimden onay bekliyor.
    form post

    kullanıcı adı ve parola bilgilerini post ettiğiniz bir formda özel karakterlerle ilgili problem yaşıyorsanız , datayı md5 olarak gönderebilirsiniz. Karşılaştırılacağı değer md5 olmasa bile bu şekilde bir post işlemiyle istenmeyen karakterler ile formunuz üzerinde işlem denemeleri geçersiz kalacaktır.

    $kullaniciadi = $_POST['kullaniciadi'];
    şeklinde ham datayı şu şekilde gönderirseniz daha güvenli bir yol izlemiş olursunuz

    $kullaniciadi = md5($_POST['kullaniciadi ']);
    yukarıdaki gibi gelen md5 halinde datayı veritabanında karşılaştırmak için sorgunuz aşağıdaki şekilde olmalıdır.

    select * from tablo where MD5(kullaniciadi)='$kullaniciadi'
    kolay gelsin.
  • 18-11-2007, 00:13:12
    #2
    kerim2155
    kerim2155
    md5 ile yollayacağımıza çeşitli filtrelerden geçiririz bence daha iyi db den okuturken md5 ile sorgulamak bence biraz saçma
    örnek vereyim şöyle olabilir
    $ad = htmlspecialchars(strip_tags(mysql_escape_string($_REQUEST["ad"])));
  • 18-11-2007, 20:50:35
    #3
    jagum
    jagum
    kerim2155 adlı üyeden alıntı: mesajı görüntüle
    md5 ile yollayacağımıza çeşitli filtrelerden geçiririz bence daha iyi db den okuturken md5 ile sorgulamak bence biraz saçma
    örnek vereyim şöyle olabilir
    $ad = htmlspecialchars(strip_tags(mysql_escape_string($_REQUEST["ad"])));
    kimi özel karakterleri kullanım dışı bırakmış oluruz bu şekilde

    böyle bir durumda şifresi he'b'e"b"le olan kullanıcı şifre hatası alacaktır.
    kullanıcı girişi için etkili bir yol md5 ile yollamak , tercih meselesi tabi.
  • 18-11-2007, 22:55:14
    #4
    Hard_Love
    Hard_Love
    Üyeliği durduruldu
    peki arkadaşlar yorumlarda ve forumlarda konu yazmak için kullanılan formlarda güvenlik hakkında bilgi ve tecrübeleriniz nedir?
  • 20-11-2007, 13:16:08
    #5
    kosteberk
    kosteberk
    Üyeliği durduruldu
    Tamam işte forumlardaki postlar da
    htmlspecialchars()strip_tags()
    mysql_escape_string()
    fonksiyonlarını kullanman yeterli

  • 20-11-2007, 22:08:37
    #6
    Lisans
    Lisans
    Üyeliği durduruldu
    şifre yada kullanıcı adı karşılaştırmalarında
    mysql_escape_string
    bu yeter abartmayın o kadarda
    Birde trim'lersiniz boşluk falan kalmasın diye.
    + MD5'de güzel çözüm.
  • 20-11-2007, 22:50:22
    #7
    ErsinAcar
    ErsinAcar
    Üyeliği durduruldu
    az önce bir abimin ricası üzerine yaptığı siteye baktım beni hatırlayı seçince userid yi cookie ye atıyor sonra sayfaya girince cookieden direk login ediyor. Bu büyük bir açıktır. Cookie editor ile açıp userid yi bir yaptım hop admin accounttayım
    genelde yapılan bir yanlış peki nasıl çözeriz bunu ?
    userid yi unique bir key şeklinde tutabiliriz 128 bit ile şifrelenmiş bir idyi kolay kolay çözemezler değil mi tabi sizinde bi şifrelemeye katkınız olmalı böylece id no yerine adamın karışısında 10larca karakter olur dolayısı ile sisteme girmesi neredeyse imkansız bir hal alır sorunda çözülmüş olur. taze taze anlatayım dedim
  • 21-11-2007, 04:21:23
    #8
    Lisans
    Lisans
    Üyeliği durduruldu
    cevizde bir fonk. dağıtmıştım onunda şifreledinizmi kimse cookie açığından yararlanamaz.