merhaba arkadaşlar
get ve diğer id değerlerini alırken
$id = (int) intval($_GET["id"]);
fonksiyonunu kullanıyorum bu yeterlimi
real escape strng mi kullanmam gerekli yada karakter temizleyicimi kullanayım uyarımı verdireyim önerileriniz teşekküür ederim
Php güvenlik |
9 Mesajlar | 1.415 Okunma | ||
Toplam 9 mesaj ve 1.415 görüntüleme
- Üyelik 24.12.2013
- Yaş/Cinsiyet 35 / E
- Meslek programcı
- Konum Denizli
- Ad Soyad G** E**
- Mesajlar 291
- Beğeniler 23 / 33
- Ticaret 6, (%100)
- Üyelik 04.10.2013
- Yaş/Cinsiyet 32 / E
- Meslek Bilgisayar Mühendisi
- Konum Ankara
- Ad Soyad Ö** A**
- Mesajlar 504
- Beğeniler 20 / 127
- Ticaret 44, (%98)
Geniş bir konu ancak benim sıklıkla kullandığım fonksiyonu vereyim.
#secure
function secure($string){
return(htmlspecialchars(strip_tags($string)));
}
- Üyelik 24.12.2013
- Yaş/Cinsiyet 35 / E
- Meslek programcı
- Konum Denizli
- Ad Soyad G** E**
- Mesajlar 291
- Beğeniler 23 / 33
- Ticaret 6, (%100)
aslında aradaki farklar neerdir hangilri daha iyidir
- Üyelik 17.10.2014
- Yaş/Cinsiyet 30 / E
- Meslek Öğrenci
- Konum Bilecik
- Ad Soyad C** E**
- Mesajlar 158
- Beğeniler 6 / 34
- Ticaret 0, (%0)
trim ve addslashes kullan bence
function guvenli_string($string) {
return addslashes(trim($string));
}
veya addslashes yerine mysqli_real_escape_string'de kullanabilirsin , INT Olup Olmadığını kontrol İçinde ;
if(intval($_GET["id"])){
$id=guvenli_string($_GET["id"]));
}
Olarak Kullanabilirsin
function guvenli_string($string) {
return addslashes(trim($string));
}
veya addslashes yerine mysqli_real_escape_string'de kullanabilirsin , INT Olup Olmadığını kontrol İçinde ;
if(intval($_GET["id"])){
$id=guvenli_string($_GET["id"]));
}
Olarak Kullanabilirsin
- Üyelik 09.04.2015
- Yaş/Cinsiyet 30 / E
- Meslek İnşaat Mühendisliği Öğrenci
- Konum Kocaeli
- Ad Soyad O** E**
- Mesajlar 110
- Beğeniler 6 / 9
- Ticaret 2, (%100)
sadece id alıyorsan hiç bir sakıncası yok sonuçta int değer istediğin için addslashes'a yada htmlspecialchars ve ya strip_tags gerek yok
- Üyelik 04.10.2013
- Yaş/Cinsiyet 32 / E
- Meslek Bilgisayar Mühendisi
- Konum Ankara
- Ad Soyad Ö** A**
- Mesajlar 504
- Beğeniler 20 / 127
- Ticaret 44, (%98)
trim ve addslashes kullan bence
function guvenli_string($string) {
return addslashes(trim($string));
}
veya addslashes yerine mysqli_real_escape_string'de kullanabilirsin , INT Olup Olmadığını kontrol İçinde ;
if(intval($_GET["id"])){
$id=guvenli_string($_GET["id"]));
}
Olarak Kullanabilirsin
function guvenli_string($string) {
return addslashes(trim($string));
}
veya addslashes yerine mysqli_real_escape_string'de kullanabilirsin , INT Olup Olmadığını kontrol İçinde ;
if(intval($_GET["id"])){
$id=guvenli_string($_GET["id"]));
}
Olarak Kullanabilirsin
mysqli_real_escape_string pdo da sorun çıkartıyor sanırım.
- Üyelik 09.04.2015
- Yaş/Cinsiyet 30 / E
- Meslek İnşaat Mühendisliği Öğrenci
- Konum Kocaeli
- Ad Soyad O** E**
- Mesajlar 110
- Beğeniler 6 / 9
- Ticaret 2, (%100)
mysql_real_escape_string :)
- Üyelik 12.06.2012
- Yaş/Cinsiyet 39 / E
- Meslek Öğretmen
- Konum Samsun
- Ad Soyad O** Y**
- Mesajlar 1722
- Beğeniler 398 / 400
- Ticaret 20, (%100)
Alternatif olarak;
$id = preg_match('/^[0-9]+$/', $_GET['id']) ? $_GET['id'] : 1 ;
.
- Üyelik 14.09.2012
- Yaş/Cinsiyet 40 / E
- Meslek Yazılım geliştirme
- Konum Ankara
- Ad Soyad M** A**
- Mesajlar 217
- Beğeniler 55 / 48
- Ticaret 0, (%0)
intval ve int belirteçi yeterlidir, bunları fonksiyona atabilirsin sonradan düzenleme kolay olsun diye, ek olarak pozitif değer kontrolü de yaptırırsın daha kısa kod yazarsın, daha esnek olur
function idval($value) {
return max(((int) intval($value)), 1); // 1 en küçük değerdir burada
}
Murat Alabacak <http://muratalabacak.net>
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)