0
Kayıt Ol

Admin Paneli Form Post Güvenliği Yardım

3

361

  • 15-10-2017, 21:25:04
    #1
    Altuncu
    Altuncu
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Merhaba arkadaşlar bir konuda yardımlarınıza ihtiyacım var.
    Satışa sunmayı planladığım Klasik ASP tabanlı bir yazılımı tamamladım ancak satış yapacağım kötü niyetli müşterilerin admin paneline yeni veri eklemesi veya düzenlemesi sırasında zararlı karakterleri ve html kodları engellemek istiyorum.
    bunun için formdan gelen verileri filtreleyerek varitabanına kaydetmem gerekiyor. bunun için hangi karakterleri yasaklarsam amacıma ulaşırım.
    Örneğin <% veya %> karakterleri filtrelenmeden veritabanına yada ayar.asp dosyasına kaydedilirse site hata verecek ve çalışmayacak.
  • 15-10-2017, 22:03:59
    #2
    makro
    makro
    Aşağıdaki fonksiyon için görecektir hocam. C#'dan klasik asp'ye çevirdim umarım syntax hatası yapmamışımdır. Kontrol edersiniz.
    İyi çalışmalar.
    function temizle (text)
text = Replace(text,text,"&gt;", "");
text = Replace(text,text,"&lt;", "");
text = Replace(text,"--", "");
text = Replace(text,"'", "");
text = Replace(text,"char", "");
text = Replace(text,"delete", "");
text = Replace(text,"insert", "");
text = Replace(text,"update", "");
text = Replace(text,"select", "");
text = Replace(text,"truncate", "");
text = Replace(text,"union", "");
text = Replace(text,"script", "");
text = Replace(text,"like", "");
text = Replace(text,"create", "");
text = Replace(text,"modify", "");
text = Replace(text,"rename", "");
text = Replace(text,"where", "");
text = Replace(text,"join", "");
text = Replace(text,"drop", "");
text = Replace(text,"alter", "");
text = Replace(text,"cast", "");
text = Replace(text,"=", "");
text = Replace(text,"%", "");
text = Replace(text,"!", "");
text = Replace(text,"#", "");
text = Replace(text,"<", "");
text = Replace(text,">", "");
text = Replace(text,"*", "");
text = Replace(text,"Chr(34)", "");
text = Replace(text,"Chr(39)", "");
end function
  • 15-10-2017, 22:58:52
    #3
    Altuncu
    Altuncu
    öncelikle teşekkür ederim. bunun aynısını sitenin herkese görünen kısmındaki form işlemlerinde sql injection için filtreliyorum ama şöyle bir durum var.
    örneğin admin, kendi panelinde yeni bir yazı yayınlayacak. Bu yazıda Yüzde belirtmesi gerekiyorsa % karakterini, yazı içine resim ekleyecekse <img src= html kodlarını eklemesi gerekiyor yada yazıların belirli bölümlerini " veya ' ile cümle sonlarını ! ile belirtmek istediğinde ne olacak sıkıntı burada başlıyor.

    Yani öyle bir filtre kullanmalıyım ki admin işlemlerini yine yapsın ama kötü niyetli erişim işlerinde başarılı olamasın
  • 15-10-2017, 23:48:48
    #4
    makro
    makro
    Hocam yine replace ile ascii / farklı bir özel kod veya karakter vb. text olarark kaydedebilirsiniz diye düşünüyorum. Ekrana yazarken de yine bir function ile geri dönersiniz.