Php input,get vb. GÜVENLİĞİ! ?

Merhabalar, hemen konuya geçiş yapmak istiyorum.

Şimdi şöyle bir formdaki inputlara kullanıcının veri girişi yapmasını istiyoruz fakat kullanıcıların arasında internet sektörüne yeni atılıp direkt olarak google amcadan gördükleri h*ck, mysql inj*ct vb. gibi başlıklı videolarda '=' 'or' gibi artık ne çeşitleri varsa, hiç bilimyorum :D mysql'i şapşal edicek girişler yapabiliyorlar ve güvenlik sorunu olan sitelerde haliyle sorun çıkabiliyor.

veya başka bir örnek vericek olursak get ile yolladığım değişken tarayıcı çubuğunda gözüküyor ve sonuna '=' +-'!% gibi karakterler kullanarak basitce mysql'i boşa çıkarabiliyorlar.

ve daha bilmem kaç tane örnek vardır allah bilir. :)

Arkadaşlar sizden istediğim şu piyasadaki açıkları nasıl kapatabiliriz ve bu açıklar nelerdir, açıkları kapatmanın/korunmanın yollarını yazarsanız, eminim benim gibi bu sorunu veya korkuyu yaşayan bayağı yoğun bir nüfus'un en azından içini rahatlatabiliriz :)

Şimdiden çok teşekkürler. :D

Pdo :)

Sql sorgusu yapacağınız zaman pdo yu kullanın. Form işlemlerinizde get kullanmanızı pek önermiyorum Post kullanın daha güvenli olacaktır.

html taglarını, js kodlarını temizlemek için htmlspecialchars metodunu, diğer sql saldırılarından korunmak için ise pdo (prepare - execute) yapısını kullanın hocam.

Edit: Aklıma gelmişken yazayım, csrf açıklarını unutmayalım, her zaman postumuza bir csrf token koyalım :)

0ktay öncelikle mysql kütüphanesinden vazgeçmek gereklidir. Basit diye bu sistemi kullanmak basit açıklara yol açar. Bunun yerine mysqli_ ve PDO kütüphane sınıflarını kullanmak ve şekillendirmek daha güvenlidir.

mysqli ve pdo da güvenliği arttırmanın birçok yolu var bunlardan bir kaçı post ve get ile edinilen verileri temizlemek yukardaki arkadaşların verdiği örnekler gibi. bir diğer yol ise kullanıcılar var ise ve sessiona atanmış kullanıcı ise gibi fonksiyonlarla direkleri dikmektir.

Bunun için if, elseif, else - swich case gibi işlemlerle güçlendirilebilir.
Dosya transferi gibi işlemlerde ise yine kullanıcı kontrolü yapılmalı doğru formatta dosya olup olmadığı, dosyanın boyutu vb filtreleme sistemleriyle işlem yapılmalıdır.
bunlar sadece bir kaç örnek.
Mümkün mertebe get ile veri çekme işleminden kaçınmak gereklidir kanımca bunun yerine post ile yapılabilir. javascript- ajax gibi kütüphanelerden yararlanılıp tek bir sayfa içerisinde yenilemeden işlemleri kontrol ve dogru hedefe yönlendirilerek bariz açıklardan kurtulunulabilir. birde alenen açık dosyalar var mesela header.php tek başına anlamsızdır ama include ile bunları indeximize ekleriz direkt bu dosyaya erişim engellemek için " define - defined" sabitlerinden yararlanılıp tek başına görüntülenmesini kısıtlayabiliriz. aynı şekilde veritabanı dosyamız içinde geçerli yapabiliriz. kodlama işi söledikleri gibi gerçekten şiirdir. Kafiyeyi uydurmak bizi keyiflendirir.


Tabi bu yukarda saydıklarım devede kulak ama en çok akılda soru işareti bırakan açıklardır.

Stored Procedure kullanicaksin o zaman.

Pdo daha güvenli onda hem fikiriz fakat çoğu php sistemler mysql ile hazırlanmış herkez kalkıpta pdo'ya çeviremezki.

Pdo demek yerine var olan mysql'i güçlendirecek bir sınıf vb. belirtmek daha mantıklı olur. :)



Pdo ile ilgili görüşümü nebisenol'un alıntısının altında bildirdim :)

Method olarak post kullanıyorum fakat post'uda basit işlemlerle alt edebiliyorlar onun için bir çözüm bulamazmıyız ?



Sendende böyle bir cevap beklerdim (YARARLI!) :) teşekkürler. (htmlspecialchars) <-- Mutlaka bilinmesi gereken bir sınıf!

Pdo ile ilgili görüşümü nebisenol'un alıntısının altında bildirdim :)

Güven teşekkürler dostum yararlı.
Birde dosya filtreleme sistemi demişsin örnek verebilirmisin ?

ontedi aslında söylediğin mantıklı bir yol ancak bilmeyen arkadaşlar için baştan bir sistem öğrenmek zor olacaktır. (YARARLI!) Teşekkürler.

Sp, aslında yazdığın "insert, update, delete, select" sorgularını sql metodolojisi içinde yazmaktan ibaret.

Bunun için yeteri kadar PHP ve SQL bilgisine sahip olman gerek, sahipsen otomatik olarak beynin boşlukları tamamlıyor ama burada ne kadar yazsak da yüzlerce başlığı bir araya getirmek zor olacak. Kumbaraya birkaç sent benden olsun.

- POST ve GET için sık kullandığım veri getirme yollarım, şöyle bir mantık izlenebilir.


/*--------------------- $_GET & $_POST ----------------- START */

// Secure via $_GET
public function get($parameter){
return !isset($_GET[$parameter]) ? false : strip_tags(trim(addslashes(htmlspecialchars($_GET[$parameter]))));
}

// Secure via $_POST
public function post($parameter){
if (!empty($_POST[$parameter])) {

if (is_array($_POST[$parameter])) {
$request = array();
foreach ($_POST[$parameter] as $param)
$request[] = htmlspecialchars(addslashes(trim($param)));
return $request;
}
return htmlspecialchars(addslashes(trim($_POST[$parameter])));
}
return false;
}

/*--------------------- $_GET & $_POST ----------------- END */


- Ajax kullandığın yerlerde, formlarda amacı dışında kullanımlar olabilir, xss açıklarını araştır. Belki csrf çözüm olabilir ama cloudflare + root erişimin varsa csf firewall önerebilirim. En sağlam şık Session + bu Session verisni formdann iste.

- Mysql'e asla root kullanıcısı ile bağlanma.

- Tarayıcıdan get'le veri almak yerine jquery gibi kütüphanelerden yararlanıp dinamik bir arayüz oluştur. (jquery gibi diyorum çünkü yetersiz ve güvensiz sayılabilir.)

- Sabit bir değer yoksa, yani kullanıcıdan veri isteniyorsa veritabanı işlemlrinde parametre kullan.

- Özel veri tiplerini ayır, kontrol et. Örneğin id bilgisi istediğin bir get parametresini $_GET['parametre'] is_numeric fonksiyonu ile kontrol et ya da (int) diyerek türünü belirt.

- PDO iyi bir çözüm gibi gözükebilir ama 100% koruma sağlamaz, kendine uygun bir kütüphane bulmaya bak, şunu önerebilirim.

vs, vs ,vs.

Security dev bir dünya, içinde kaybolmak mümkün. Basit değil, epey kafa yormak gerekiyor.

Decimas çok teşekkürler girişken arkadaşların mutlaka incelemesi gereken bir yorum :)