birliktesatalim
reklam
reklam

Bunda Açık Nedir ?

  1. Konuyu Paylaş
4 Mesajlar 445 Okunma
reklam

Castollo57 Castollo57 WM Aracı Kullanıcı
  • Üyelik 30.05.2018
  • Yaş/Cinsiyet 21 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad A** H**
  • Mesajlar 217
  • Beğeniler 104 / 35
  • Ticaret 1, (%100)
Herkese Selam, ben projemde veri tabanına kayıt, güncelleme işlemleri yapmaktayım fakat ben izlediğim eğitimdeki gibi bu işlemleri yapmaktayım. Bir başka konuda projemden bir kaç kod atmıştım ve bir kaç kişi bana bu kodların çok açık yaratacağını ve sitemin hacklenebileceğini yazdı. Örnek bir veri tabanı güncellemesi kodunu aşağıda bırakıyorum. Tecrübeli arkadaşlar bana bu kod üzerinden alınabilecek tüm önlemleri gösterirse çok sevinirim. İyi günler

Örnek Kod(Bu kodda genel-ayar.php dosyasından form aracılığı ile site ayarlarını değiştiriyorum):

if (isset($_POST['GenelAyarlarGuncelle']))
{
$GenelAyarKaydet = $VeritabaniBaglantisi->prepare("UPDATE ayarlar SET
SiteLink = :link,
SiteTitle = :title,
SiteDescription = :decription,
SiteKeywords = :keywords,
CopyrightYazisi = :copyrightyazisi
WHERE id = 1");

$Update = $GenelAyarKaydet->execute(array(
'link' => $_POST['SiteLink'],
'title' => $_POST['SiteTitle'],
'decription' => $_POST['SiteDescription'],
'keywords' => $_POST['SiteKeywords'],
'copyrightyazisi' => $_POST['CopyrightYazisi']
));

if ($Update)
{
Header("Location:../genel-ayarlar.php?durum=ok");
}
else
{
Header("Location:../genel-ayarlar.php?durum=no");
}
}
 

 

medyasosyal
reklam

mfgrbz mfgrbz Zurna da bir çalgıdır Kullanıcı
  • Üyelik 10.06.2018
  • Yaş/Cinsiyet 36 / E
  • Meslek Yazılım & Grafik
  • Konum İzmir
  • Ad Soyad M** G**
  • Mesajlar 124
  • Beğeniler 15 / 54
  • Ticaret 0, (%0)
Selamlar, tüm $_POST 'ları kesinlikle filtrelemelisin. Böyle direk geleni çalıştırırsan Sql injection atak alırsın.

$string_ise= filter_input(INPUT_POST, 'postadi', FILTER_SANITIZE_STRING);
$sadece_rakam_ise= filter_input(INPUT_POST, 'postadi', FILTER_SANITIZE_NUMBER_INT);

En azından bu filtreyi kullan, daha birçok filtre şart ama başlangıçta bunu kullanabilirsin.
Herzaman bir değişkene ata ve filtrele Get&Post'ları.
Castollo57

kişi bu mesajı beğendi.

sahir sahir WM Aracı Kullanıcı
  • Üyelik 23.11.2015
  • Yaş/Cinsiyet 31 / E
  • Meslek webkolik
  • Konum İstanbul Anadolu
  • Ad Soyad N** S**
  • Mesajlar 50
  • Beğeniler 6 / 10
  • Ticaret 0, (%0)
Bir filitreleme ve güvenlik fonksiyonu yazarak tüm değişkenleri filitrelemeden gecirin
 

 

Storyman Storyman Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 31.08.2020
  • Yaş/Cinsiyet 42 / E
  • Meslek Reklam Ajansı ve Web Geliştirm
  • Konum Bursa
  • Ad Soyad E** T**
  • Mesajlar 210
  • Beğeniler 129 / 104
  • Ticaret 1, (%100)
WHERE id = 1
Gibi yerler direkt açık. Pdo nimetlerinden faydalanıp en azından" ? " İle sorguya almak lazım.
 

 

smmavm
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al