Her bir şey Bugün Cevapla
Ara
Kategoriler
duyuru (1)
soru (46)
müzik (1)
film/dizi (0)
teknik (3)
medikal (2)
sözlük (0)
yabancı dil (0)
yer/yön (0)
alınık/satılık (0)
gönül işleri (3)
hayvan (0)
kayıp (0)
kan aranıyor (0)
ev/kalacak yer (0)
Son Cevaplananlar
[]

Site Açığı [PHP]

selamlar,

diyelimki benim www.sitem.com adlı bir sitem olsun. burada şöyle bir sayfam olsun www.sitem.com/?sid=turlar&kayitid=124 diye de bi adresim olsun. Adam bu adresin sonuna "><sCrIpT>alert(12551)<%2fsCrIpT> şöyle bi kod eklerse ben bu scripti çalıştırmış oluyorum.

adres çubuğuna yazılan bu tarz şeyleri nasıl engelleyebilirim.

 
str_replace fonksiyonunu incelemenizi tavsiye ederim..


  • bigman  (21.03.12 16:03:33) 
QueryString ile gelen verilerin içinden tek tırnak gibi karakterleri temizleyebilirsiniz. Daha detaylı olarak SQL Injection diye aratın.
Eğer size sadece ID lazım ise querystring'deki veri nümerik mi diye kontrol edebilirsiniz. QueryString'lerde sadece nümerik verilerin taşınması en güvenlisi.

  • mylord  (21.03.12 16:03:33) 
ya mesela aynı kodu ekşiduyuruya yazıyorum direk anasayfaya yönlendiriyor. url i işleyemedim bi türlü onu nasıl yapabilirim? Regexle falan yapmak en mantıklısı heralde..


  • contavolta  (21.03.12 16:15:39) 
querystring'i doğrudan echo ile sayfaya mı yazıyorsunuz?


  • ocanal  (21.03.12 16:20:39) 
$_GET le yazdırıyorum.


  • contavolta  (21.03.12 16:31:44) 
$_GET veya $_POST gibi verileri kontrol etmeden basarsanız taklaya gelirsiniz gencolar, her PHP gurusuyum diyen bilmez lakin, PHP'de filtreleme komutlarımız vardır, default, sağlam bir güvenlikle gelen;

inceleyin derim:php.net
  • Dr. Kissingher  (21.03.12 17:24:14) 
sakladiginiz kullanicidan gelen veriyi sayfaya basarken < ve > karakterlerini replace edeceksiniz. tr.php.net
alternatif olarak strip_tags'e de bakabilirsiniz. ama htmlspecialchars iyidir.

  • disq  (21.03.12 19:41:00) 
1
istatistikler
yardım / hakkında
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.