astropaykartsatis.net
User Tag List

Yeni Konu Aç Cevap Yaz
31.12.2010, 20:45 1 (permalink)
Azat Metin
  • Üyelik Tarihi4.11.2010
  • Ticaret Sayısı0
  • Mesajlar284
HTML Injection Saldırılarına Önlem #permalink (permalink)
Ilk önce HTMl Injection saldirisi nasil olur ona bir değinelim..

Önrk: Sizin bir scriptinizde yorum yapma sayfası var ve $_POST filtrelenmemişse Defacer olarak adlandırılan bu kişi Yorum Yazalabilece kısma Yönlendirme META olarak adlandırılabilen kodu koyup sizin sitenizin o sayfasını yönlendirip DEFACE edebilir bazıları onay sistemi kurup bunun üstesinden gelebilir ancak ona gerek duymadan biz bu işi htmlspecialchars() ve trim() den geçirirsek halledebiliriz

Örnek bir Sorgu oluşturulalim..
PHP- Kodu:
if(isset($_POST['gonder'])){

$deneme htmlspecialchars(trim($_POST['textfield']));

//veriyi veritabanına almadan önce htmlspecialchars() ve trim() 
//fonksiyonuna alıp öyle değişkene atadık.
//Böylece veri html taglarından arındırıldı.

$kaydet mysql_query("INSERT INTO deneme VALUES(NULL,'$deneme')");

if(
$kaydet){
echo 
'Kaydedildi';
}else{
echo 
'Kayıtta hata oluştu';
}


Gördüğünüz gibi Filtreleme işini yaptik ancak tabiki sizde kendinize göre güvenlik fonksiyonları kullanabilirsiniz..Ben bütün scritplerimde HTML Injection a karşi bu fonksiyonları kullanıyorum tavsiye ederim yani

Umarım kendimi ifade edebilmişimdir.
Konu ile ilgili sorulara herzaman açığım.
Saygılarımla..
Azat Metin / www.yasalhost.com
Azat@yasalhost.com


Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
14.01.2011, 02:40 2 (permalink)
Ozarslan
  • Üyelik Tarihi6.12.2010
  • Yaş26
  • Ticaret Sayısı0
  • Mesajlar9
Güzel azat..
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
20.01.2011, 20:34 3 (permalink)
Azat Metin
  • Üyelik Tarihi4.11.2010
  • Ticaret Sayısı0
  • Mesajlar284
Teşekkür ederim
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
23.01.2011, 19:02 4 (permalink)
nere
  • Üyelik Tarihi23.01.2011
  • Ticaret Sayısı0
  • Mesajlar7
teşekkür ederim
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
22.02.2011, 17:02 5 (permalink)
Piyade
  • Üyelik Tarihi18.02.2011
  • Yaş27
  • Ticaret Sayısı0
  • Mesajlar16
eyv saol
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
10.04.2011, 13:03 6 (permalink)
yagizz57
  • Üyelik Tarihi9.01.2011
  • Ticaret Sayısı0
  • Mesajlar8
Güzel fakat yetersiz gibi geldi bana çünkü örneğin sayfanıza yollanan postların içerisinde html karakterleride olması gerekiyor. <font size vs. bunları nasıl sağlıyorsunuz ?

Bunun için en iyisi veriyi süzmek. yasak kelimeler vs..
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
29.07.2011, 11:22 7 (permalink)
kardesim
  • Üyelik Tarihi6.01.2011
  • Yaş42
  • Ticaret Sayısı0
  • Mesajlar21
teşekkür #permalink (permalink)
paylaşım için teşekküre deriz sağolun
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
5.08.2011, 09:21 8 (permalink)
acapella
  • Üyelik Tarihi14.05.2011
  • Yaş32
  • Ticaret Sayısı0
  • Mesajlar9
olduğu gibi mi atalım yoksa ? scripte göre değişiyor mu ?
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
5.08.2011, 10:26 9 (permalink)
EmiR34
  • Neredenİstanbul Şubesi
  • Üyelik Tarihi9.04.2011
  • Ticaret Sayısı1
  • Mesajlar2,982
Çok yararlı bir paylaşım çok teşşekur ederim..
Beğenme sistemi gelince not aldım beğeneceğim.
Saglikligelisme.com
Hızlı PM Gönder
Gönder
Alıntı ile Cevapla
Yeni Konu Aç Cevap Yaz
Şu an bu konuyu okuyan kişi sayısı: 1 (0 üye ve 1 misafir)
 
Seçenekler
Yetkileriniz
Konu Acma Yetkiniz Yok Cevap Yazma Yetkiniz Yok Eklenti Yükleme Yetkiniz Yok Mesajınızı Değiştirme Yetkiniz Yok
BB code is Açık Smileler Açık [IMG] Kodları Açık HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık
Forum Kuralları
Benzer Konular
Konu Konuyu Başlatan Forum Cevap Son Mesaj
SQL Injection Saldırılarına Önlem Azat Metin PHP Yararlı Bilgiler 13 4.11.2014 15:40
DDOS Saldırılarına Çözüm Hakan Damar Güvenlik 9 22.12.2011 15:42
Flood saldırılarına karşı optimizasyon ? SeVeRaL Veritabanları 0 18.11.2007 21:50
SQL Injection desoLate PHP 15 22.03.2007 03:39

Forum Saati: 10:45. Zaman dilimi GMT +3 olarak ayarlanmıştır.
Powered by vBulletin™ Version 3.8.7
Copyright © 2017 vBulletin Solutions, Inc. All rights reserved.