|
||
Notice: Undefined index: no_view_links in /home/mjturkiy/public_html/forum/Sources/Subs.php on line 1372 Notice: Undefined index: no_view_links in /home/mjturkiy/public_html/forum/Sources/Subs.php on line 1378 Notice: Undefined index: no_view_links in /home/mjturkiy/public_html/forum/Sources/Subs.php on line 1634 Notice: Undefined index: no_view_links in /home/mjturkiy/public_html/forum/Sources/Subs.php on line 1640 script yazarken, mümkün olduğu kadar az hidden input kullanmaya çalışın. yani, sadece gerekli bilgileri hidden input ile gönderin. diğerleri için session kullanın ya da doğrudan sorgu üzerinde işlem yapın. mesela, bir yazı scripti, yorumlama da var. eğer yaziid veya onay gibi bir veriyi input ile yolluyorsanız, uyanık birisi çıkıp bu veriyi değiştirebilir ve karışıklıklara yol açabilir. bunları sessionlarla ya da doğrudan sorgudan yollamaya özen gösterin. bütün post verilerini filtreleyin, sql injection veya başka hack girişimlerine izin vermemiş olursunuz. benim her zaman kullandığım filtreleme fonsiyonu aşağıda, bununla filtreleseniz yeterli olur. PHP Kodu: Kod: if (!function_exists("GetSQLValueString")) { function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") { $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": $theValue = ($theValue != "") ? intval($theValue) : "NULL"; break; case "double": $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; break; case "date": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "defined": $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; break; } return $theValue; } } kullanımı: $_POST['veri'] yerine, GetSQLValueString($_POST['veri'], "text") "text" kısmını int olarak da değiştirebilirsiniz, sadece sayı girilecekse bu bölümde. bu fonksiyon aynı zamanda verinin başına ve sonuna ' ekler ve içindeki ' karakterlerini \' haline getirir. yani doğrudan sql'e giriş için hazırlar. veritabanında bir session tablosu oluşturup bütün ip'leri tek tek buraya kaydettirmeniz, flood saldırılarına karşı etkili olmanızı sağlar. mesela, ip adresini ve aktivite zamanını kaydedersiniz tabloya. her hareketinde zamanı güncellersiniz. kişinin 1 sn içinde 1'den fazla sayfaya girmesini engelleyerek de kötü niyetli kişilerin verebileceği zararları azaltmış olursunuz. mysql bağlantısı kurarken, sunucunuzun özelliklerine ve ayarlarına göre, mysql_connect veya mysql_pconnect arasında karar vermelisiniz. mysql_pconnect kullandığınızda mysql_close kullanmanıza gerek kalmayacaktır, çünkü mysql_pconnect ile kullanıcı başına bir bağlantı soketi açarsınız ve bu bağlantı soketi, timeout'a uğradığında kendisi kapanır, bu yüzden bu timeout süresi kısa tutulmalıdır. Yüksek hitli sitelerde bu tercih edilmelidir. mysql_connect kullanıldığında ise, bunu her seferinde mysql_close ile kapatmazsanız sunucuyu mahfedersiniz, load havalara uçar. çünkü mysql_connect, her kullanıcının her sorgusu için ayrı ayrı bağlantı soketi açmaktadır, mysql_close ile bunlar kapatılmadığında sunucu kendinden geçer. mümkün olduğu kadar veritabanı sorgularınızı basit tutun. mesela, yazi tablosunda kaç satır olduğunu gösterecekseniz, select * from yazi yapacağınıza select id from yazi şeklinde oluşturun sorgunuzu. bu şekilde sunucunuzu daha az yormuş olursunuz. alıntıdır. |
||
|
||
| güzel paylaşım olmuş uyarılar için teşekkürler | ||
|
||
| açıklayıcı bir döküman ol mus eline saglık bazı hack olaylarını engelleye bilir siniz bu dökümanla fakat mantıksal işlemler kullanarak yani ''gönderme işlemlerinde veya bir başka işlemlerde filtreleme kısıtlama yapılmadıgı zaman rfi acıgı oluşla bilir bu nedemek uzaktan kötü yazılmıs php kodlarını enjekte etmek demek c99&r57 gibi''.... | ||