Php güvenlik

htmlspecialchars

Htmlspecialchars komutu Php ile güvenlik sağlamak ve sayfada görüntülenecek içeriği filtrelemek için kullanılan bir fonksiyondur.

& karakteri, Tırnak ve <> gibi işaretleri HTML formatına uygun olarak dönüştürür.

Kullanımı:

$temiz=htmlspecialchars($_GET["mesaj"]);

örnekte siteyi ziyaret eden birinin yazdığı şöyle bir mesaj:

selam millet "ben phpci" < siz kimsiniz

 

şu şekle dönüşür:

selam millet &quot;ben phpci &quot; &lt; siz kimsiniz

Not: Veritabanına eklenecek... Devam?

ctype_digit () sayı kontrolü php güvenlik

Get metodu ile numerik yani tamamen sayılardan oluşan bir ´id´ alıyorsunuz ve o ´id´ye ait bir veriyi veritabanından aşağıdaki kod ile çekiyorsunuz.

mysql_query("SELECT * FROM cars WHERE id = ´$_GET[aracno]´ LIMIT 1 ");

...ÇOK BÜYÜK BİR HATA...

...PHP-MYSQL GÜVENLİK İHLALİ...

...SQL Injection kurbanı olabilirsiniz...

Bunun için yapılması gereken $_GET[aracno] değerini süzerek tamamen gelmesi gereken şekilde bir veri olup olmadığını anladıktan sonra sql sorgusunu gerçekleştirmesini sağlmalıyız.

Önerilen seçeneklerden... Devam?

Php Güvenlik

Merhaba arkadaşlar!

Php'nin hazır fonksiyonlarını kullanmadan kendi yaptığım üye kayıt sistemini sql injection ve xss'e karşı güvenli hale getirmem gerekiyor.

İnternette bayaa çok araştırma yaptım ama sorunuma çözüm olabilecek bir şey bulamadım.

Aklıma şöyle bir şey geldi. Ne kadar doğru bilemiyorum tabii. Veri tabanına gidicek textboxtan alınan verilerin başına "//" koyamayı düşündüm ama sadece düşündüm.(Bu denedim ama başaramadım demek)

Değişkenin başına bunları nasıl atayabilirim? 

 

Yardımcı ol... Devam?