Bu Siteden Her Türlü Alıntı Yapmak Serbesttir. Sitenin Tüm Hakları "KIBRIS TÜRK MİLLETİNE" Aittir. www.kibris1974.com'un Varlığı Türk Varlığına Armağan Olsun

Sitemizde Reklam Alanlarını Kullanabilmek İçin Mehmetçik Vâkıfına Veya Mücahitler Ve Şehit Aileleri Derneğine Yatırmış Olduğunuz Bağış Makbuzunu [email protected] Adresine İletmeniz Yeterlidir...

Geri git   KIBRIS1974 FORUM " Kibris TÜRK tarihi araştırmaları , Gündem haberleri, KIBRIS da kim kimdir ne nedir , kibris videolari resimleri dökümanları indir" > Bilişim Teknolojileri Merkezi > Web Yazılımları > Php Yazılımlar
Kayıt ol Yardım Üye Listesi Ajanda Arama Bugünki Mesajlar Forumları Okundu Kabul Et


Konu Bilgileri
Kısayollar
Konu Basligi
P.H.P Güvenliği
Cevaplar
0
Sonraki Konu
sonraki Konu
P.H.P Güvenliği Konusunu Görüntüleyenler
 
Görüntüleme
565
Önceki Konu
önceki Konu

Cevapla
 
Seçenekler Stil
Alt 17-04-2008, 10:50 AM   #1
Profil
CANBULAT
-Otağ Hanı-
 
CANBULAT - ait Kullanıcı Resmi (Avatar)
 
Bilgiler
Üyelik tarihi: Mar 2008
Bulunduğu yer: Tanrı Dağları Yaylağım, Orhun Nehri Sulağım
Mesajlar: 4,111
Konular:
Uye No:76

Ettiği Teşekkür: 3200
2269 Mesajına 5780 Kere Teşekkür Edlidi
İlgi Alanları
Extra:
CANBULAT is on a distinguished road
CANBULAT - MSN üzeri Mesaj gönder
Standart P.H.P Güvenliği

P.H.P Güvenliği PHP script’lerinizin güvenli olduğundan emin olmanız için ilk olarak temel kuralları yerine getirmeniz gerekiyor: kullanıcı girdilerinin (input) filtrelenmesi ve çıktıların (output) kontrolü. Eğer bu ikisini doğru olarak yapmıyorsanız script’leriniz her zaman güvenlik problemleri ile karşı karşıya olacaktır. Bu makale’de bu iki işlem ile ilgili yapılması gerekenler anlatılıyor.
Bütün girdileri filtreleyin
Script’leriniz harici bir kaynaktan girdi okuduğunda, bu verinin tehlikeli olduğu varsayılmalı ve güvenilmemelidir. Güvenilmemesi gereken değişkenlerden bazıları: $_POST, $_GET, $_REQUEST ve hatta pek mümkün görünmese de önemli veriler içerebilecek olan $_SERVER .

Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir. Onaylama işlemi ile sadece sizin istediğiniz verileri içerdiğinden emin olabilirsiniz. Örneğin bir eposta adresi bilgisi bekliyorsanız, onay fonksiyon’unuz girilen verinin doğru bir eposta adresi olup olmadığını kontrol etmeli.

Hemen basit bir örnekle açıklayalım. Aşağıdaki kodda ilk olarak $_POST değişkeninden e-posta adresini alıyorum ve sonra veriyi onaylama işlemine sokuyorum:
<?php
$eposta = $_POST[’eposta’]; # Burada veri hala TEHLİKELİ durumda

// Validate e-mail
if (valid_eposta($eposta) == false) {
// Geçerli bir adres değil
die(’Geçerli bir eposta adresi değil!’);
}
?>
Veriyi kontrol ederek script’imize tehlikeli verilerin eklenmesi riski büyük ölçüde azaltılmış oldu. valid_eposta() fonksiyon’u <A href="http://www.phpit.net/code/%20target=_new%20rel=nofollow%20color=#0000ff PHPit Code Snippet veritabanı</A" target=_blank>nda da bulunabilecek olan standart bir onay işlemidir.

Verimiz daha güvenli olsa da işimiz daha bitmedi çünkü hala veriyi MySQL veritabanına yerleştirmek istiyoruz ve bu işlemden önce de bazı kontroller yapmamız gerekiyor. PHP tüm önemli karakterlerin escape edildiği
<A href="http://php.net/mysql_real_escape_string%20target=_new%20rel=nofol low%20color=#0000ff mysql_real_escape_string</A" target=_blank>standart fonksiyon’unu sunar. Diğer bir yöntem ise SQL sorgusunda veriyi her zaman kesme imleri arasına yerleştirin.

Önceki örneğimize devam edelim:
<?php
$eposta = $_POST[’eposta’]; # Burada veri hala TEHLİKELİ durumda

// Validate e-mail
if (valid_eposta($eposta) == false) {
// Geçerli bir adres değil
die(’Geçerli bir eposta adresi değil!’);
}

// eposta’nın veritabanı için güvenli hale getirilmesi
$eposta = mysql_real_escape_string($eposta);

// Artık güvenli!
?>

Artık elimizdeki eposta verisi veritabanına güvenli bir şekilde işlenebilir. Hatalardan kaçınmak için tehlikeli değişkenlere bir ön ek verilebilir, örneğin:
<?php
$t_eposta = $_POST[’eposta’]; # Tehlikeli

// Onay işlemi

$g_eposta = mysql_real_escape_string($d_eposta);
?>

Bu şekilde tehlikeli bir veriyi işleme sokarken ön tarafındaki t_ eklentisi ile hemen farkına varabilirsiniz.

Çıktıların filtrelenmesi
Girdilerde olduğu gibi dışarıya sunulan tüm verilerin de (güvenli olarak filtreleyip veritabanına işlediğiniz verilerin dahi) filtrelenmesi gerekmektedir.

Filtrelenmesi gereken en önemli şey probleme yol açabilecek olan HTML tag’leridir. Bunu yapmanın en kolay yolu bütün HTML’i escape işlemine sokan
<A href="http://php.net/htmlentities%20target=_new%20rel=nofollow%20color= #0000ff htmlentities</A" target=_blank>fonksiyon’udur:
<?php
echo htmlentities($_GET[’eposta’]);
?>

Bu kod (saldırganın sayfalarınıza JavaScript kodları eklemesine ve diğer kullanıcıların cookie’lerini çalmasını sağlayan) muhtemel XSS (çapraz site betik çalıştırma - cross site scripting) saldırılarını kaldırır. Eğer mümkünse, htmlentities fonksiyon’unun üçüncü argümanı’nı (encoding/charset tipi) da kullanmalısınız. Google’da HTML’i escape işleminde düzgün encoding ayarı yapmadığı için
<A href="http://shiflett.org/archive/177%20target=_new%20rel=nofollow%20color=#0000ff XSS saldırısından etkileniyordu</A" target=_blank>. Google bu açığı 1 aralık’ta kapattı. Basitçe, her zaman encoding tipini belirlemelisiniz:
<?php
echo htmlentities($_GET[’eposta’], ENT_QUOTES, ’UTF-8’);
?>

Eğer bütün HTML tag’lerini filtrelemek istemiyorsanız, bazı tag’lere izin vermek istiyorsanız strip_tags() fonksiyon’unu kullanabilirsiniz. Fakat bu, <script> tag’lerini filtreleseniz dahi Javascript ekleme açıklarına karşı bir güvenlik problemi içerebilir. ör ( <div onclick="alert(’Hi!’);"> .

Diğer bir yöntem de sadece sizin istediklerinizi filtrelemenize yarayacak kendi fonksiyon’unuzu yazmanız (veya internet’teki yüzlerce hazır fonksiyon’dan birini kullanmanız). Bu bazen en iyi yöntem olabilir fakat herhangi bir şeyi unutmanız durumunda güvenlik problemlerine yol açabilir.

Son olarak, çıktıyı filtrelemenin en iyi yolu, üç argümanı ile birlikte htmlentities() fonksiyonunun kullanımı fakat bununda işlevi sınırlı (ör: formatlama olmaması) kalabilir. Buna çözüm olarak verileri format’lamanızda kullanılabilecek olan kendi HTML kodunuzu yaratabilirsiniz. Kendi HTML kodunuzu yaratma ile ilgili olarak
<A href="http://www.phpit.net/article/create-bbcode-php/%20target=_new%20rel=nofollow%20color=#0000ff Create your own BBCode, using PHP</A" target=_blank>dokümanına göz atabilirsiniz.

Sonuç
Bu makalede PHP programlamının iki temel ilkesi olan girdi filtreleme ve çıktı filtreleme’den bahsettim. Eğer bu ikisini doğru olarak yapabilirseniz çok güvenli bir PHP script’ine doğru yola çıkmışsınız demektir.

Verdiğim örnekler çok basit ve hantal. Escape işlemini otomatikleştirmeniz iyi olabilir. Bunun için iyi bir yöntem gerekli işlemleri yapan bir class veya fonksiyon’lar yazmanız.

PHP güvenliği ile ilgili daha fazla bilgiye ihtiyaç duyuyorsanız aşağıdaki sitelerine göz atabilirsiniz:

-
<A href="http://phpsec.org/%20target=_new%20rel=nofollow%20color=#0000ff PHP Security Consortium</A" target=_blank>- Çok sayıda bilgi içeren mükemmel bir güvenlik rehberi. Mutlaka okunmalı.
-
<A href="http://phpsecurity.org/%20target=_new%20rel=nofollow%20color=#0000ff Essential PHP Security</A" target=_blank>- Chris Shiflett’in Essential PHP Security kitabından bilgiler. Kitabın bir kaç bölümü ücretsiz sunuluyor.



-
- Güvenlik bültenlerine yer veriliyor

CANBULAT isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Cevapla

P.H.P Güvenliği

Şu an bu konuyu KIBRIS FORUM içerisinde toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

KIBRIS Forumda şu an Sistem size P.H.P Güvenliği konusunu gösteriyor.Bu konu forum içerisinde 565 kez görüntülenmiş. P.H.P Güvenliği Bu konu hakkında google araması yapmak istiyorsanız P.H.P Güvenliği tıklayınız
Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı

Hizli Erisim





Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
Kibris 1974 yabancı dizi izle
KIBRIS , Php Yazılımlar P.H.P Güvenliği