IRCForumları - IRC ve mIRC Kullanıcılarının Buluşma Noktası
  sohbet

Yeni Konu aç Cevapla
 
LinkBack Seçenekler Stil
Alt 15 Aralık 2012, 20:21   #1
Çevrimdışı
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0)
IF Ticaret Yüzdesi:(%)
PHP'de SQL injection Güvenliği




İlk Önce SQL İnjection Ne Kadar Tehlikelidir, Neler Yapılabilir Anlatalım.
SQL İnjectionda Gelen Sorgu Verisinin Filtrelenmediği Taktirde, Oluşan Kod Açığında
Kullanılan SQL Kodlarını Yazarak Sizin Tablo Ve Kolonlarınızdaki Bilgiler Çekilebiliyor.

Genellikle Bu Türk Açıklar "ID" Verilerinin Filtrelenmemesinde Daha Çok Rol Oynar,
SQL Açığında ;


$id=$_GET["id"]; // id İle Veri Çekilir.

$sorgu = mysql_query("SELECT * FROM user where ID='$id'"); // Ve Direk Sorguya yansıtılır.

Burada ;

Gelen id Verisi 1 İse Örneğin

id=1'a Yaptığımızda ;

$sorgu = mysql_query("SELECT * FROM user where ID='1'a'"); Olacaktır, Ve Sorguda Hata
Oluşacaktır.Buda Bu Sorguda İstediğimiz Sorguyu Çalıştırabileceğimiz anl***** gelebilir.
id=1 order by 100 gibi.

Bu Tür Sorgular oldukça tehlikelidir, gerek kişisel bilgileriniz gerek şifreleriniz çekilebilir.

Sizi Pek Fazla Sıkmak İstemiyorum Arkadaşlar,
Aslında bu Büyük Açığın Bir Webmaster Hatası olduğunu ve engellenmesinin bu kadar basit olduğunu
şimdi göreceğiz.

bir önceki filtresiz sorgumuzda $id verisini hiçbir şekilde filtrelemeden geçirmeden
sorguda kullanmıştık.şimdi ise "mysql_real_escape_string" fonksiyonu ile engelliyeceğiz.

$id=$_GET["id"]; // id İle Veri Çekilir.
$id = mysql_real_escape_string($id); // id "mysql_real_escape_string" ile filtrelemeden geçirilir.

burada id değişkenının son hali kullanılır.
sorguda ise ','a Gibi Hata Alma Karakterlerimiz işlemeyeceği için Sorguda Hiç Bir Şekilde Kod Çalıştırılamıyacaktır.

Sorguda Kod Çalıştırılamayıncada, Sistemden Olağanüstü Veri Çekilemiyecektir.

 
Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
sohbet odaları sohbet odaları Benimmekan Mobil Sohbet
Cevapla

Etiketler
güvenliği, injection, phpde, sql


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Kapalı
Pingbacks are Açık
Refbacks are Açık


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
Php.ini Güvenliği Neo GNU, Linux ve UNIX 0 13 Ekim 2012 00:52
GreenSQL DB Firewall ile Sql Injection Önlemi Ocean Diğer.. 1 18 Aralık 2011 21:32
Injection Flaws toXic C# 0 07 Mart 2010 15:02
Ağ güvenliği hitman Güvenlik Açıkları 1 01 Mart 2006 07:02