IRC ve mIRC Kullanıcılarının Buluşma Noktası
  zurna net

  IRC ve mIRC Kullanıcılarının Buluşma Noktası Webmaster Web Uygulamaları PHP

IF Fotoğraf Yarışması

Forum tutkunlarının tek adresi Türkiye Sohbet Odaları Sohbetteyiz herkes burda

ayna chat muhabbetbayilik veren firmalar

Şeker Shell  Sohbet



Yeni Konu aç Cevapla
 
LinkBack Seçenekler Stil
Alt 15 Aralık 2012, 20:21   #1
Çevrimdışı
PHP'de SQL injection Güvenliği


-- Sponsor Baglantı --


İlk Önce SQL İnjection Ne Kadar Tehlikelidir, Neler Yapılabilir Anlatalım.
SQL İnjectionda Gelen Sorgu Verisinin Filtrelenmediği Taktirde, Oluşan Kod Açığında
Kullanılan SQL Kodlarını Yazarak Sizin Tablo Ve Kolonlarınızdaki Bilgiler Çekilebiliyor.

Genellikle Bu Türk Açıklar "ID" Verilerinin Filtrelenmemesinde Daha Çok Rol Oynar,
SQL Açığında ;


$id=$_GET["id"]; // id İle Veri Çekilir.

$sorgu = mysql_query("SELECT * FROM user where ID='$id'"); // Ve Direk Sorguya yansıtılır.

Burada ;

Gelen id Verisi 1 İse Örneğin

id=1'a Yaptığımızda ;

$sorgu = mysql_query("SELECT * FROM user where ID='1'a'"); Olacaktır, Ve Sorguda Hata
Oluşacaktır.Buda Bu Sorguda İstediğimiz Sorguyu Çalıştırabileceğimiz anl***** gelebilir.
id=1 order by 100 gibi.

Bu Tür Sorgular oldukça tehlikelidir, gerek kişisel bilgileriniz gerek şifreleriniz çekilebilir.

Sizi Pek Fazla Sıkmak İstemiyorum Arkadaşlar,
Aslında bu Büyük Açığın Bir Webmaster Hatası olduğunu ve engellenmesinin bu kadar basit olduğunu
şimdi göreceğiz.

bir önceki filtresiz sorgumuzda $id verisini hiçbir şekilde filtrelemeden geçirmeden
sorguda kullanmıştık.şimdi ise "mysql_real_escape_string" fonksiyonu ile engelliyeceğiz.

$id=$_GET["id"]; // id İle Veri Çekilir.
$id = mysql_real_escape_string($id); // id "mysql_real_escape_string" ile filtrelemeden geçirilir.

burada id değişkenının son hali kullanılır.
sorguda ise ','a Gibi Hata Alma Karakterlerimiz işlemeyeceği için Sorguda Hiç Bir Şekilde Kod Çalıştırılamıyacaktır.

Sorguda Kod Çalıştırılamayıncada, Sistemden Olağanüstü Veri Çekilemiyecektir.
İlk Önce SQL İnjection Ne Kadar Tehlikelidir, Neler Yapılabilir Anlatalım.
SQL İnjectionda Gelen Sorgu Verisinin Filtrelenmediği Taktirde, Oluşan Kod Açığında
Kullanılan SQL Kodlarını Yazarak Sizin Tablo Ve Kolonlarınızdaki Bilgiler Çekilebiliyor.

Genellikle Bu Türk Açıklar "ID" Verilerinin Filtrelenmemesinde Daha Çok Rol Oynar,
SQL Açığında ;


$id=$_GET["id"]; // id İle Veri Çekilir.

$sorgu = mysql_query("SELECT * FROM user where ID='$id'"); // Ve Direk Sorguya yansıtılır.

Burada ;

Gelen id Verisi 1 İse Örneğin

id=1'a Yaptığımızda ;

$sorgu = mysql_query("SELECT * FROM user where ID='1'a'"); Olacaktır, Ve Sorguda Hata
Oluşacaktır.Buda Bu Sorguda İstediğimiz Sorguyu Çalıştırabileceğimiz anl***** gelebilir.
id=1 order by 100 gibi.

Bu Tür Sorgular oldukça tehlikelidir, gerek kişisel bilgileriniz gerek şifreleriniz çekilebilir.

Sizi Pek Fazla Sıkmak İstemiyorum Arkadaşlar,
Aslında bu Büyük Açığın Bir Webmaster Hatası olduğunu ve engellenmesinin bu kadar basit olduğunu
şimdi göreceğiz.

bir önceki filtresiz sorgumuzda $id verisini hiçbir şekilde filtrelemeden geçirmeden
sorguda kullanmıştık.şimdi ise "mysql_real_escape_string" fonksiyonu ile engelliyeceğiz.

$id=$_GET["id"]; // id İle Veri Çekilir.
$id = mysql_real_escape_string($id); // id "mysql_real_escape_string" ile filtrelemeden geçirilir.

burada id değişkenının son hali kullanılır.
sorguda ise ','a Gibi Hata Alma Karakterlerimiz işlemeyeceği için Sorguda Hiç Bir Şekilde Kod Çalıştırılamıyacaktır.

Sorguda Kod Çalıştırılamayıncada, Sistemden Olağanüstü Veri Çekilemiyecektir.
__________________
Sokaklarda Kalmış Çocuğun Hayalleri Kadar Boş Olsada Ceplerim
Trilyonların Bile Alamayacağı İnsanlara Sahibim

Kullanıcı imzalarındaki bağlantı ve resimleri görebilmek için en az 20 mesaja sahip olmanız gerekir ya da üye girişi yapmanız gerekir.
  Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
Cevapla

Etiketler
güvenliği, injection, phpde, sql

Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık




diyarbakır escort bursa escort konya escort gaziantep escort bodrum escort