Kafamda deli sorular ( input Hidden ) |
7 Mesajlar | 850 Okunma | ||
- Üyelik 27.01.2015
- Yaş/Cinsiyet 42 / E
- Meslek IT Maneger
- Konum İstanbul Avrupa
- Ad Soyad A** H**
- Mesajlar 388
- Beğeniler 59 / 26
- Ticaret 0, (%0)
Arkadaşlar şimdi post edeceğimiz yere id gönderiyoruz bu id input ile hidden yapıp yolluyoruz şimdi adam bu inputu değiştirip başka verilerde değişiklik yapabilirmi ?
E-evcil.com
- Üyelik 20.11.2016
- Yaş/Cinsiyet 39 / E
- Meslek Web Developer
- Konum Ankara
- Ad Soyad A** A**
- Mesajlar 188
- Beğeniler 171 / 84
- Ticaret 0, (%0)
hacking işlerinden anlayan biri isterse rahatlıkla yapabilir.. Örneğin mozillanın data tamper gibi eklentisi mevcut.
Butona basıp kaydet dedğinde bu eklenti post işlemini yakalayıp düzenleme imkanı sunuyor :)
Bunun gibi bir kaç uygulama ve yöntemde mevcut.
Sen post ile aldığın değeri filtlerelerden geçir işlemem yapmadan önce..
Butona basıp kaydet dedğinde bu eklenti post işlemini yakalayıp düzenleme imkanı sunuyor :)
Bunun gibi bir kaç uygulama ve yöntemde mevcut.
Sen post ile aldığın değeri filtlerelerden geçir işlemem yapmadan önce..
Ücretsiz Web Uygulamalar, Scriptler www.webkartali.com 'da..
- Üyelik 27.01.2015
- Yaş/Cinsiyet 42 / E
- Meslek IT Maneger
- Konum İstanbul Avrupa
- Ad Soyad A** H**
- Mesajlar 388
- Beğeniler 59 / 26
- Ticaret 0, (%0)
Nasıl Yapacağım bu ? Örnek verirmisin ?
E-evcil.com
- Üyelik 29.06.2011
- Yaş/Cinsiyet 37 / E
- Meslek Vip Tema Web Tasarım A.Ş.
- Konum Tekirdağ
- Ad Soyad Ö** I**
- Mesajlar 1393
- Beğeniler 704 / 703
- Ticaret 21, (%100)
Önemli olan postu nasıl karşıladığınız. Hiçbir kontrolünüz yoksa php tarafında elbette değiştirilebilir.
Şöyle bir ayrıntı da var.
Siz hidden input'da name="adsoyad" post ediyorsanız, name kısmına yazacağı değeri iyi sallamalı heckır arkadaş. Yani php tarafında salladığı name değeri karşılanıyor olmalı.
He diyelim salladığı name değeri karşılanıyor. Adsoyad yerine meslek denendi ve post edildi. Heckır arkadaş sadece meslek girmis oluyor yinede bir hack oluşmuyor, yanlış veya hatalı kullanım oluyor. Sql injection önlemlerini aldıgınızı varsayarak konuşuyorum.
Şöyle bir ayrıntı da var.
Siz hidden input'da name="adsoyad" post ediyorsanız, name kısmına yazacağı değeri iyi sallamalı heckır arkadaş. Yani php tarafında salladığı name değeri karşılanıyor olmalı.
He diyelim salladığı name değeri karşılanıyor. Adsoyad yerine meslek denendi ve post edildi. Heckır arkadaş sadece meslek girmis oluyor yinede bir hack oluşmuyor, yanlış veya hatalı kullanım oluyor. Sql injection önlemlerini aldıgınızı varsayarak konuşuyorum.
- Üyelik 27.01.2015
- Yaş/Cinsiyet 42 / E
- Meslek IT Maneger
- Konum İstanbul Avrupa
- Ad Soyad A** H**
- Mesajlar 388
- Beğeniler 59 / 26
- Ticaret 0, (%0)
Tamam adsoyadda sorun yok bir yorum düzelteceğini varsayalım ve yorum id post ediyorum o ıd değiştirip başkasının yorumuna müdahale edebilir.
E-evcil.com
- Üyelik 03.10.2013
- Yaş/Cinsiyet 44 / E
- Meslek Yazılım Uzmanı, Matematikçi
- Konum Ankara
- Ad Soyad S** T**
- Mesajlar 1119
- Beğeniler 325 / 324
- Ticaret 2, (%100)
Öğeyi denetle ile gayet yapılabilir. SQL kod enjektesi için önlem alınmamış ise tablolar arasında cirit atabilir.
www.ontedi.com
www.cizgi.site
www.cizgi.site
- Üyelik 22.01.2012
- Yaş/Cinsiyet 42 / E
- Meslek Agent
- Konum İstanbul Anadolu
- Ad Soyad N** T**
- Mesajlar 2762
- Beğeniler 811 / 810
- Ticaret 262, (%100)
$id=$_GET["id"]; // id İle Veri Çekilir.
$id = mysql_real_escape_string($id); // id “mysql_real_escape_string” ile filtrelemeden geçirilir.
$id = mysql_real_escape_string($id); // id “mysql_real_escape_string” ile filtrelemeden geçirilir.
dijitalsite.com.tr ister al / ister sat / yeni üyelere 20 tl bakiye hediye
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)