Okul Kaynak Sitesi
Hoşgeldiniz
Ziyaretçi
. Lütfen
giriş yapın
veya
kayıt olun
.
1 Saat
1 Gün
1 Hafta
1 Ay
Her zaman
Kullanıcı adınızı, şifrenizi ve aktif kalma süresini giriniz
Haberler:
Ana Sayfa
Yardım
Giriş Yap
Kayıt Ol
»
Dersler
»
Webmaster
»
PHP
»
Konu:
PHP - hayat kurtarabilecek fonksiyonlar
« önceki
sonraki »
Yazdır
Sayfa: [
1
]
Aşağı git
Gönderen
Konu: PHP - hayat kurtarabilecek fonksiyonlar (Okunma sayısı 3437 defa)
0 Üye ve 1 Ziyaretçi konuyu incelemekte.
D®agon
Ezberletmez Öğretir
Administrator
Süper Mega üye
İleti: 11650
+524/-0
Cinsiyet:
PHP - hayat kurtarabilecek fonksiyonlar
«
:
14 Aralık 2010, 17:53:37 »
[b]Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir.Zira bunları yapmazsak basit yöntemlerle hacklenmek elde bile değil.
mysql_real_escape_string
Bu fonksiyon gelen veride mysql’e iş yaptırma olasılığı olan simgelerin önüne veri olarak gösterecek olan \ koyuyor.\x00, \n, \r, \, ‘, “ ve \x1a. Bu şekilde kişinin yazdığı yazı doğrudan yazı olarak veritabanına eklenmiş oluyor. mysql_real_escape_string ile sql injection u ortadan kaldırıyoruz
$query=mysql_real_escape_string($_GET[kelime]);
mysql_query("insert into arama (kelime) values ('$query')");
htmlentities
Girdilerde olduğu gibi dışarıya sunulan tüm verilerin de (güvenli olarak filtreleyip veritabanına işlediğiniz verilerin dahi) filtrelenmesi gerekmektedir.
Filtrelenmesi gereken en önemli şey probleme yol açabilecek olan HTML tag'leridir. Bunu yapmanın en kolay yolu bütün HTML'i escape işlemine sokan htmlentities() fonksiyon'udur:
<?php
echo htmlentities($_GET['kelime']);
?>
htmlentities ile muhtemel muhtemel XSS (cross site scripting) saldırılarını kaldırırsınız
Eğer tüm html taglarını silmek istemiyorsanız strip_tags() kullanarak bazı html taglarına izin verebilirsiniz.[/b]
Kayıtlı
Yazdır
Sayfa: [
1
]
Yukarı git
« önceki
sonraki »
»
Dersler
»
Webmaster
»
PHP
»
Konu:
PHP - hayat kurtarabilecek fonksiyonlar
Yukarı git
Aşağı git