lostyazilim
tr.link

$id = $_GET['id'];

25 Mesajlar 2.790 Okunma
acebozum
tr.link

JumperTech JumperTech Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 02.07.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad B** O**
  • Mesajlar 1705
  • Beğeniler 820 / 523
  • Ticaret 19, (%100)
id get,
sql injected.
 

 

elektronikssl
webimgo

Korkmaz Korkmaz cagdaskorkmaz Kullanıcı
  • Üyelik 03.12.2014
  • Yaş/Cinsiyet 28 / E
  • Meslek SARUHAN HOLDING - Fakir Elektr
  • Konum İstanbul Avrupa
  • Ad Soyad Ç** K**
  • Mesajlar 3536
  • Beğeniler 253 / 1236
  • Ticaret 8, (%100)
JumperTech Nasıl yani hocam.
 

 

cagdaskorkmaz.com.tr

rshcoosl rshcoosl Yazılımcı Kullanıcı
  • Üyelik 29.01.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek Yazılımcı
  • Konum İstanbul Anadolu
  • Ad Soyad R** G**
  • Mesajlar 273
  • Beğeniler 31 / 39
  • Ticaret 26, (%100)


bir işe yaramaz. sonuçta get.
veriyi güzelce şifrelerseniz çözülmesi zorlaşır.
get yerine post kullanırsanız da daha güvenli olur.
 

 

Gucluyazar Gucluyazar Proje Adamı :) Kullanıcı
  • Üyelik 28.03.2016
  • Yaş/Cinsiyet 29 / E
  • Meslek Sağlıkçı Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad M** S**
  • Mesajlar 1027
  • Beğeniler 372 / 319
  • Ticaret 15, (%100)
$_POST kullanabilirsiniz ?
 

 

wmaraci
wmaraci

enverehan enverehan WM Aracı Kullanıcı
  • Üyelik 21.05.2016
  • Yaş/Cinsiyet 34 / E
  • Meslek Backend Developer
  • Konum Ankara
  • Ad Soyad E** E**
  • Mesajlar 99
  • Beğeniler 6 / 27
  • Ticaret 0, (%0)
UYARI!!!

ID değerini doğrudan get metoduna bağlamak yüksek derecede riskli güvenlik açıklarına yol açar. htaccess lede düzenlesen seoya da bağlasan klasik yolla tekrar açılabilir.

BUNDAN DOLAYI!

$id = intval(abs($_GET['id']));

şeklinde verilerini almalısın. Böylelikle yalnızca pozitif sayısal değerler girilen veriden süzülecek gerileri yoksayılıp silinecektir.
 

 

https://ehantechnology.com/

Korkmaz Korkmaz cagdaskorkmaz Kullanıcı
  • Üyelik 03.12.2014
  • Yaş/Cinsiyet 28 / E
  • Meslek SARUHAN HOLDING - Fakir Elektr
  • Konum İstanbul Avrupa
  • Ad Soyad Ç** K**
  • Mesajlar 3536
  • Beğeniler 253 / 1236
  • Ticaret 8, (%100)
enverehan Hocam $id = intval(abs($_GET['id'])); kullanınca açık kapanacakmı.
 

 

cagdaskorkmaz.com.tr

Korkmaz Korkmaz cagdaskorkmaz Kullanıcı
  • Üyelik 03.12.2014
  • Yaş/Cinsiyet 28 / E
  • Meslek SARUHAN HOLDING - Fakir Elektr
  • Konum İstanbul Avrupa
  • Ad Soyad Ç** K**
  • Mesajlar 3536
  • Beğeniler 253 / 1236
  • Ticaret 8, (%100)
Kullandığım kod.

 

 

cagdaskorkmaz.com.tr

KadirCeyhan KadirCeyhan WM Aracı Kullanıcı
  • Üyelik 23.10.2016
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum Denizli
  • Ad Soyad K** C**
  • Mesajlar 689
  • Beğeniler 0 / 203
  • Ticaret 6, (%100)
Options +FollowSymLinks
RewriteEngine On

RewriteCond %{SCRIPT_FILENAME} !-d
RewriteCond %{SCRIPT_FILENAME} !-f

RewriteRule ^user/(\d+)*$ ./user.php?id=$1
 

 

Caesar Caesar ich bin /root Kullanıcı
  • Üyelik 24.08.2015
  • Yaş/Cinsiyet 39 / E
  • Meslek Bilgisayar Mühendisi
  • Konum İstanbul Anadolu
  • Ad Soyad O** B**
  • Mesajlar 837
  • Beğeniler 77 / 558
  • Ticaret 10, (%100)
$id = $_GET['id'];

dersen çökertirler. Bir daha kine;

$id = (int) $_GET['id'];

demeyi dene çökertemeyeceklerini göreceksin.
 

 

>/dev/null 2>&1

Korkmaz Korkmaz cagdaskorkmaz Kullanıcı
  • Üyelik 03.12.2014
  • Yaş/Cinsiyet 28 / E
  • Meslek SARUHAN HOLDING - Fakir Elektr
  • Konum İstanbul Avrupa
  • Ad Soyad Ç** K**
  • Mesajlar 3536
  • Beğeniler 253 / 1236
  • Ticaret 8, (%100)
Caesar Hocam dediğiniz gibi yapınca movie=not_found diye uyarı geliyor. İçeriği okuyamıyor. Gelen id içeriği örneği bu: movie.php?id=tt5748998

İd içeriğinde harf olduğundan sıkıntı çıkıyor.
 

 

cagdaskorkmaz.com.tr
wmaraci
wmaraci
Konuyu toplam 3 kişi okuyor. (0 kullanıcı ve 3 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al