• 01-10-2021, 08:17:50
    #1
    php ile güvenlik önlemi nelerdir. neler yapıla bilir yaardımcı ola bilirmisiniz
  • Kabul Edilen Cevap
    • 1 Beğeni
      * Veri girişlerinin tiplerini kontrol edin. Eğer numerik giriş yapılması gerekiyorsa mesela, intval ile veri değerini kontrol edin. Eğer tarih girilmesi gerekiyorsa strtotime ve date ile formatlayın veriyi.
      * Çerezler manipüle edilebilir, o sebepten ötürü kritik verileri session üzerinde tutmaya çalışın
      * Dosya yüklemelerini yaparken sadece dosya uzantısına güvenmeyin. İçeriğini de kontrol edin. JPG olarak yüklenen dosyalar shell olabilir.
      * Kullanıcılara hiç bir zaman güvenmeyin. Hiç bir kullanıcı yazılımcıya karşı iyi niyetli değildir. Benim gözümde kullanıcıların hayata dair tek amacı yazılımcıdan daha zeki olduklarını kanıtlamaktır.
      * Sağ tuş "incele" yapıldığı zaman veri değiştirildiğinde sorun olabilecek bir durum varsa kesinlikle kontrol etmeyi ihmal etmeyin. Bu tip girdiler başınıza bela olur ve nasıl yapıldığını bulana kadar saçınızı başınızı yolarsınız.
      * Kullandığınız kütüphaneler, kabul görmüş kütüphaneler bile olsa, şöyle bir göz atmanızda fayda var. Kütüphanenin içerisinde bir çeşit uploader kalmış olabilir. Eskiden temaların içerisinde demo olması için uploader koyarlardı. Kimsede farkedip temizlemezdi (istisnalar kaideyi bozmaz) Bu şekilde hacklenen siteleri bilseniz, şaşarsınız.

      Alacağınız en iyi önlem işinizi ciddiye almak ve fazladan yazacağınız bir kaç kelimeye, bir kaç tıka erinmemektir.
  • 01-10-2021, 08:31:03
    #2
    - Kendi yazdığınız bir script ise pdo ile kuralına göre db bağlantısı yapılması gerekli.
    - Dosya yükleme sistemi varsa boyut ve tür kontrol edilmeli.
    - Slug ile db'den veri çekiliyorsa htmlspecialchars() fonksiyonu kullanılmalı.
    - Önemli veriler çerezde değil $_SESSION'da tutulmalı.

    Aklıma gelenler bunlar
  • 01-10-2021, 08:38:47
    #3
    Framework kullan
  • 01-10-2021, 08:41:45
    #4
    Kral Eline koluna sağlık öncelikle.
    -Kendi Yazdığım bir sistem
    -PDO ile veri tabanı bağlantısı yaptım
    aslında yazdığım sistem insan kaynakları sistemi sistemde bir çok yerde izinsiz giriş olduğu zaman veya dosyalar indirilmeye başlandığı zaman sistem hem sms hemde mail yolu ile bildiriyor benim sormak istediğim strip_tags değilde daha farklı yazılım da giriş de yapılacak önlemler misal okadar özellik var sistemde ip alamıyorum remote_addr ile almıyor gerçek ip almaya çalıştığım zaman ise yene almıyor ip banı attırma istiyorum sisteme . kafa karıştırıcı oldu biraz ama yani anlamadığın yer olursa detaylı anlata bilirim.
  • 01-10-2021, 09:00:10
    #5
    İnternette bir sürü kaynak mevcut hocam. Onlara da göz atabilirsiniz.
  • 01-10-2021, 09:33:56
    #6
    Eğer PHP kullanıyorsanız, XSS, SQL İnjection ve Post açığı vermeyin (Dosya Yükleme
    ) yerlerine validation işlemi yaptırın, .php veya .html gibi dosyalar yükleyemesin. Bunlar işinizi görür.
  • 01-10-2021, 09:36:15
    #7
    Aklıma gelmemişti uyarınız için teşekkür ederim
  • 01-10-2021, 09:56:08
    #8
    Bu cevap, konu sahibi tarafından kabul edilebilir bir cevap olarak işaretlendi.
    * Veri girişlerinin tiplerini kontrol edin. Eğer numerik giriş yapılması gerekiyorsa mesela, intval ile veri değerini kontrol edin. Eğer tarih girilmesi gerekiyorsa strtotime ve date ile formatlayın veriyi.
    * Çerezler manipüle edilebilir, o sebepten ötürü kritik verileri session üzerinde tutmaya çalışın
    * Dosya yüklemelerini yaparken sadece dosya uzantısına güvenmeyin. İçeriğini de kontrol edin. JPG olarak yüklenen dosyalar shell olabilir.
    * Kullanıcılara hiç bir zaman güvenmeyin. Hiç bir kullanıcı yazılımcıya karşı iyi niyetli değildir. Benim gözümde kullanıcıların hayata dair tek amacı yazılımcıdan daha zeki olduklarını kanıtlamaktır.
    * Sağ tuş "incele" yapıldığı zaman veri değiştirildiğinde sorun olabilecek bir durum varsa kesinlikle kontrol etmeyi ihmal etmeyin. Bu tip girdiler başınıza bela olur ve nasıl yapıldığını bulana kadar saçınızı başınızı yolarsınız.
    * Kullandığınız kütüphaneler, kabul görmüş kütüphaneler bile olsa, şöyle bir göz atmanızda fayda var. Kütüphanenin içerisinde bir çeşit uploader kalmış olabilir. Eskiden temaların içerisinde demo olması için uploader koyarlardı. Kimsede farkedip temizlemezdi (istisnalar kaideyi bozmaz) Bu şekilde hacklenen siteleri bilseniz, şaşarsınız.

    Alacağınız en iyi önlem işinizi ciddiye almak ve fazladan yazacağınız bir kaç kelimeye, bir kaç tıka erinmemektir.
  • 01-10-2021, 10:09:49
    #9
    Elinize kolunuza sağlık bilginizi benimle paylaştığınız için teşekkür ederim