Toggle navigation
Ana Sayfa
Yardım
Giriş Yap
Kayıt Ol
Giriş Yap
Kayıt Ol
×
Close
Giriş Yap
Remember me
Dersler
Webmaster
PHP
Konu:
PHP - hayat kurtarabilecek fonksiyonlar
« önceki
sonraki »
+
Yazdır
Sayfa: [
1
]
Aşağı git
PHP - hayat kurtarabilecek fonksiyonlar
0 Yanıt
3497 Gösterim
0 Üye ve 1 Ziyaretçi konuyu incelemekte.
D®agon
Ezberletmez Öğretir
Join Date: Mar 2008
Yer: Ankara
11650
+524/-0
Cinsiyet:
PHP - hayat kurtarabilecek fonksiyonlar
«
:
14 Aralık 2010, 17:53:37 »
[b]Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir.Zira bunları yapmazsak basit yöntemlerle hacklenmek elde bile değil.
mysql_real_escape_string
Bu fonksiyon gelen veride mysql’e iş yaptırma olasılığı olan simgelerin önüne veri olarak gösterecek olan \ koyuyor.\x00, \n, \r, \, ‘, “ ve \x1a. Bu şekilde kişinin yazdığı yazı doğrudan yazı olarak veritabanına eklenmiş oluyor. mysql_real_escape_string ile sql injection u ortadan kaldırıyoruz
$query=mysql_real_escape_string($_GET[kelime]);
mysql_query("insert into arama (kelime) values ('$query')");
htmlentities
Girdilerde olduğu gibi dışarıya sunulan tüm verilerin de (güvenli olarak filtreleyip veritabanına işlediğiniz verilerin dahi) filtrelenmesi gerekmektedir.
Filtrelenmesi gereken en önemli şey probleme yol açabilecek olan HTML tag'leridir. Bunu yapmanın en kolay yolu bütün HTML'i escape işlemine sokan htmlentities() fonksiyon'udur:
<?php
echo htmlentities($_GET['kelime']);
?>
htmlentities ile muhtemel muhtemel XSS (cross site scripting) saldırılarını kaldırırsınız
Eğer tüm html taglarını silmek istemiyorsanız strip_tags() kullanarak bazı html taglarına izin verebilirsiniz.[/b]
Kayıtlı
+
Yazdır
Sayfa: [
1
]
Yukarı git
« önceki
sonraki »
Dersler
Webmaster
PHP
Konu:
PHP - hayat kurtarabilecek fonksiyonlar
Yukarı git
Aşağı git