Pdo açıkları nasıl kapatılır?

Yusufc44

Decapat
Katılım
2 Ekim 2021
Mesajlar
130
Çözümler
1
Daha fazla  
Cinsiyet
Erkek
Pdo ile yaptığım bir Script'te csrf, error message ve SQL injection açıkları çıkıyor bunları nasıl engelleyebilirim?
 

Dosya Ekleri

  • Ekran Alıntısı.PNG
    Ekran Alıntısı.PNG
    115,7 KB · Görüntüleme: 61
Son düzenleme:
Pdo ile yaptığım bir Script'te csrf, error message ve SQL injection açıkları çıkıyor bunları nasıl engelleyebilirim?
Öncelikle belirteyim kendi yaptığınız scripti iyice güvenli hale sokabilmek için üzerinde uzun uzadıya uğraşmanız gerekiyor. Tecrübeniz azsa veya yoksa bu sizin kolay yapabileceğiniz bir şey maalesef değildir.
Acunetix tarzı programlar sadece bariz açıkları bulabiliyor. Görünen bu kadar açık varsa daha neler vardır bir düşünün istedim.

Size tavsiyem bir framework'e yönelmenizdir. Büyük ihtimalle sitenizi php ile yaptınız. PHP için Laravel framework'ünü size önerebilirim. Kendisini ben de aktif kullandım, hem kullanması kolay hem de güvenli bir framework'tür. Onun dışında CodeIgniter'a da yönelebilirsiniz.

Ben illa da kendi scriptimi yapacağım, bana akıl verme sorunu çöz diyorsanız şu adımları izleyin:
  1. Asla direkt olarak SQL soruglarının içine gelen değişkeni doğrudan göndermeyin. Mutlaka strip_tags ve str_replace ile sorun çıkarabilecek değişkenleri değiştirin
  2. Elinizden geldiğince POST metoduyla işlem yapmaya çalışın. Query'e veri gönderip o veriyi okutmayın. Query verileri rahatlıkla kullanıcı tarafından değiştirilebilir.
  3. CSRF koruması için tokenli istek doğrulaması yapın.
Bu adımları izledikten sonra tekrar sitenizi taratın. Eğer bir sorunla karşılaşırsanız size birebirde yardımcı olabilirim. İyi çalışmalar.
 
Öncelikle belirteyim kendi yaptığınız scripti iyice güvenli hale sokabilmek için üzerinde uzun uzadıya uğraşmanız gerekiyor. Tecrübeniz azsa veya yoksa bu sizin kolay yapabileceğiniz bir şey maalesef değildir.
Acunetix tarzı programlar sadece bariz açıkları bulabiliyor. Görünen bu kadar açık varsa daha neler vardır bir düşünün istedim.

Size tavsiyem bir Framework'e yönelmenizdir. Büyük ihtimalle sitenizi PHP ile yaptınız. PHP için laravel Framework'ünü size önerebilirim. Kendisini ben de aktif kullandım, hem kullanması kolay hem de güvenli bir Framework'tür. Onun dışında codeıgniter'a da yönelebilirsiniz.

Ben illa da kendi scriptimi yapacağım, bana akıl verme sorunu çöz diyorsanız şu adımları izleyin:
  1. Asla direkt olarak SQL soruglarının içine gelen değişkeni doğrudan göndermeyin. Mutlaka strip_tags ve str_replace ile sorun çıkarabilecek değişkenleri değiştirin
  2. Elinizden geldiğince post metoduyla işlem yapmaya çalışın. Query'e veri gönderip o veriyi okutmayın. Query verileri rahatlıkla kullanıcı tarafından değiştirilebilir.
  3. Csrf koruması için tokenli istek doğrulaması yapın.
Bu adımları izledikten sonra tekrar sitenizi taratın. Eğer bir sorunla karşılaşırsanız size birebirde yardımcı olabilirim. İyi çalışmalar.

Dediklerinizi zaten yapmıştım hocam ama yine de bu açıklar çıktı,

Peki madem o zaman laravel daha iyi ve açıklarla uğraştırmıyor şöyle hızlı öğrenebileceğim bir kaynak tavsiyesi var mı elinizde programlamada amatör olduğumu göze alın okullar açılmadan önce öğrenmek istiyorum mümkünse çünkü o zaman zamanım olmayacak.
 
Dediklerinizi zaten yapmıştım hocam ama yine de bu açıklar çıktı,

Peki madem o zaman laravel daha iyi ve açıklarla uğraştırmıyor şöyle hızlı öğrenebileceğim bir kaynak tavsiyesi var mı elinizde programlamada amatör olduğumu göze alın okullar açılmadan önce öğrenmek istiyorum mümkünse çünkü o zaman zamanım olmayacak.
YouTube'da Tayfun Erbilen'in videolarını izleyebilirsiniz. Kendisi gayet iyi anlatıyor fakat ben sizin kendiniz deneyerek öğrenmenizden yanayım.
 
YouTube'da tayfun Erbilen'in videolarını izleyebilirsiniz. Kendisi gayet iyi anlatıyor fakat ben sizin kendiniz deneyerek öğrenmenizden yanayım.

Evet bende zaten var olan PHP bilgimi tayfun erbilenden öğrenmiştim, PHP Türkiye kanalını izledim laraveli öğrenmeyi geçin daha laraveli kuramıyorum, composere kodları giriyorum hatalar veriyor.
 
Evet bende zaten var olan PHP bilgimi tayfun erbilenden öğrenmiştim, PHP Türkiye kanalını izledim laraveli öğrenmeyi geçin daha laraveli kuramıyorum, composere kodları giriyorum hatalar veriyor.
Aldığınız hatalarla ilgili tekrardan bir konu açarsanız yardımcı olabilirim.
 
Aldığınız hatalarla ilgili tekrardan bir konu açarsanız yardımcı olabilirim.

Hocam şu konuya bir göz atar mısınız?

 
Hocam şu konuya bir göz atar mısınız?

İlgileniyorum hocam.
 

Geri
Yukarı