script yazımında bunlara dikkat edin !
63
●14.732
- 26-10-2009, 10:20:55Teşekkürler Bartuc. PHP'yi tam olarak öğrendiğim zaman tabiki işime yarar.
- 11-12-2009, 17:39:22
Üyeliği durdurulduevet gerçekten güzel bir fonksiyon,
fakat önerim fonksyion adını değiştirin onu yazmak hata doğurabilir
mesela;
if (!function_exists("al")) { function al($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") { $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": $theValue = ($theValue != "") ? intval($theValue) : "NULL"; break; case "double": $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; break; case "date": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "defined": $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; break; } return $theValue; } }ornek ;
al($_POST['uye'],'text');
veya
al($_GET['id'],'int');
olması lazım.. teşekkürler - 16-03-2010, 03:45:41Burada tanınmamış belki tinary operatörü vardır. x ? x : x ; şeklinde gözüken. Bu IF karar kontrol mekanizmasının farklı bir biçimde yazılışıdır. Daha basit kontroller için daha hızlı çalışan bir yapıdır. Bitsel yapılardandır. Burada kullanamayacağınız kodlarda vardır.
Örn: $foo ? return $alfa : $foo = null ; gibi. Tinary operatöründe return kullanamazsınız. Nedenleri şimdi ayrı bir yazı konusu, bu yazıyı süistimal etmek istemiyorum.
Eklemek istediğim bir konuda;
hidden olarak int random bir alan oluşturun.
Örn: <input type="hidden" name="processID" value="56461746" /> gibi.
Bu ne işime yarayacak?
Biri sizin formunuza uzaktan data POST etmek istediğinde bu hidden alandaki sayıyıda bilmesi gerekecek. Bilemeyeceğinden de POST edemeyecek.
Ben nasıl bilicem peki?
Oluşturduktan sonra birini session'a yazın $_SESSION["form"]["processID"] = $randomInt şeklinde. Daha sonra hidden html kontrolünün value alanınada <?=$randomInt?> şeklinde yazdırın.
Teşekkürler. - 17-04-2010, 22:12:41Mrb verdiğiniz bilgilerden dolayı gercekten cok teşekkürler.Kolay gelsin..
- 22-04-2010, 14:53:46buradaki kodun aynısını Dreamweaver yazıyor sanki.. Dreamweaver'dan mı alıntı bu kod?Bartuc adlı üyeden alıntı: mesajı görüntülescript yazarken, mümkün olduğu kadar az hidden input kullanmaya çalışın. yani, sadece gerekli bilgileri hidden input ile gönderin. diğerleri için session kullanın ya da doğrudan sorgu üzerinde işlem yapın.
mesela, bir yazı scripti, yorumlama da var. eğer yaziid veya onay gibi bir veriyi input ile yolluyorsanız, uyanık birisi çıkıp bu veriyi değiştirebilir ve karışıklıklara yol açabilir. bunları sessionlarla ya da doğrudan sorgudan yollamaya özen gösterin.
bütün post verilerini filtreleyin, sql injection veya başka hack girişimlerine izin vermemiş olursunuz. benim her zaman kullandığım filtreleme fonsiyonu aşağıda, bununla filtreleseniz yeterli olur.
if (!function_exists("GetSQLValueString")) { function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") { $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": $theValue = ($theValue != "") ? intval($theValue) : "NULL"; break; case "double": $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; break; case "date": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "defined": $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; break; } return $theValue; } }kullanımı:
$_POST['veri'] yerine, GetSQLValueString($_POST['veri'], "text")
"text" kısmını int olarak da değiştirebilirsiniz, sadece sayı girilecekse bu bölümde. bu fonksiyon aynı zamanda verinin başına ve sonuna ' ekler ve içindeki ' karakterlerini \' haline getirir. yani doğrudan sql'e giriş için hazırlar.
veritabanında bir session tablosu oluşturup bütün ip'leri tek tek buraya kaydettirmeniz, flood saldırılarına karşı etkili olmanızı sağlar. mesela, ip adresini ve aktivite zamanını kaydedersiniz tabloya. her hareketinde zamanı güncellersiniz. kişinin 1 sn içinde 1'den fazla sayfaya girmesini engelleyerek de kötü niyetli kişilerin verebileceği zararları azaltmış olursunuz.
mysql bağlantısı kurarken, sunucunuzun özelliklerine ve ayarlarına göre, mysql_connect veya mysql_pconnect arasında karar vermelisiniz. mysql_pconnect kullandığınızda mysql_close kullanmanıza gerek kalmayacaktır, çünkü mysql_pconnect ile kullanıcı başına bir bağlantı soketi açarsınız ve bu bağlantı soketi, timeout'a uğradığında kendisi kapanır, bu yüzden bu timeout süresi kısa tutulmalıdır. Yüksek hitli sitelerde bu tercih edilmelidir. mysql_connect kullanıldığında ise, bunu her seferinde mysql_close ile kapatmazsanız sunucuyu mahfedersiniz, load havalara uçar. çünkü mysql_connect, her kullanıcının her sorgusu için ayrı ayrı bağlantı soketi açmaktadır, mysql_close ile bunlar kapatılmadığında sunucu kendinden geçer.
mümkün olduğu kadar veritabanı sorgularınızı basit tutun. mesela, yazi tablosunda kaç satır olduğunu gösterecekseniz, select * from yazi yapacağınıza select id from yazi şeklinde oluşturun sorgunuzu. bu şekilde sunucunuzu daha az yormuş olursunuz.
aklıma gelen şeyler bunlar, aklıma geldikçe eklerim
