25-05-2016 Saat: 22:56
SQL Injection saldırıları ile neredeyse herkesin başı dertte büyük sistemler SQL Injection ile çok kolay anasını ağlatabilmektedirler bende bir nebzede olsa kabak gibi duran SQL Injection saldırısını önlemeyi anlatacağim.
Örnek olarak bir sorgu alalım ben projelerimde kullandıgım değerlerden örnek vericem
$_POST'a gelen değerler çok önemlidir çünki mysqldeki değerler ile karşilaştirilacaktir..
PHP Kod:
Böyle birşey kullanmak tamamen bir hatadır çünki SQL Injection yapacak arkadaşin ` işareti olusturmasina gerek
bırakmadiniz böylece SQL ınjection saldırıları ile USER ve PASSWORD
bilgileriniz SQLden çekilebilir bunu önlemek ise basittir
PHP Kod:
böyle yapildiği taktirde SQL açiği oluşması için `gerekliliğini belirttik..` önlemek için $_POST a bunları yapmak yeterli olcaktir.
PHP Kod:
Örnek olarak bir sorgu alalım ben projelerimde kullandıgım değerlerden örnek vericem
$_POST'a gelen değerler çok önemlidir çünki mysqldeki değerler ile karşilaştirilacaktir..
PHP Kod:
Kod:
$sifre=$_POST['sifre']);
$sifre=mysql_query("select * from yonetici where `id`='$sifre'");
mysql_num_rows($kontrolet) Böyle birşey kullanmak tamamen bir hatadır çünki SQL Injection yapacak arkadaşin ` işareti olusturmasina gerek
bırakmadiniz böylece SQL ınjection saldırıları ile USER ve PASSWORD
bilgileriniz SQLden çekilebilir bunu önlemek ise basittir
PHP Kod:
Kod:
$sifre=$_POST['sifre']);
$sifre=mysql_query("select * from yonetici where id='$sifre'");
mysql_num_rows($kontrolet) böyle yapildiği taktirde SQL açiği oluşması için `gerekliliğini belirttik..` önlemek için $_POST a bunları yapmak yeterli olcaktir.
PHP Kod:
Kod:
$sifre=mysql_real_escape_string(htmlspecialchars($_POST['sifre']));
$sifre=mysql_query("select * from yonetici where id='$sifre'");
mysql_num_rows($kontrolet) Öyle insanlar vardır ki sadece fikirleri bile yepyeni ağaçların fidanlarını eker.
