Pek çok PHP programcısı hala SQL saldırıları hakkında bilgisi ya da açığın kapatılması hakkında fazla bilgisi yoktur.Araştırmalar yaptığımızda hep bize addhandler yada mysql real escape fonksiyonlarını örnekler gösteriyor ama bu kimi zaman dalgınlığımız yada el alışkanlığı sebebi ile her form verisi alırken yada dışarıdan veri alırken kullanamıyoruz az önce dediğim gibi ya bilmediğimiz için yada unutulduğu için bu tip tehlikelere maruz kalıyoruz.
Aşağıdaki fonksiyon ile POST yada GET olarak gelen verileri topluca süzerek zararlı karakter içeren verileri süzmektedir.
Fonksiyonun kullanımı çok basittir toplu fonksiyonların bulunduğu yada her php sayfaya içeri aktarılan(include functions) bir dosyanın en başına ekleyebilirsiniz.
Örnek bir deneme yapalım sds isimli bir GET verisini doğrudan yazdıralım yani öncelikle yukarıdaki fonksiyonları kullanalım en altına da echo $_GET['sds'] yazalım ve sds verisine örnek HTML ve SQL sorunu yaratan karakterleri ekleyelim
php-sql-function
Sonuç olarak bize güzel bir çıktı verdi bu çıktı ise hiçbir şekilde SQL sorunu yaratmamaktadır.
Aşağıdaki fonksiyon ile POST yada GET olarak gelen verileri topluca süzerek zararlı karakter içeren verileri süzmektedir.
Fonksiyonun kullanımı çok basittir toplu fonksiyonların bulunduğu yada her php sayfaya içeri aktarılan(include functions) bir dosyanın en başına ekleyebilirsiniz.
Örnek bir deneme yapalım sds isimli bir GET verisini doğrudan yazdıralım yani öncelikle yukarıdaki fonksiyonları kullanalım en altına da echo $_GET['sds'] yazalım ve sds verisine örnek HTML ve SQL sorunu yaratan karakterleri ekleyelim
php-sql-function
Sonuç olarak bize güzel bir çıktı verdi bu çıktı ise hiçbir şekilde SQL sorunu yaratmamaktadır.
0 yorum :
Yorum Gönder