Pdo açıkları nasıl kapatılır?

Yusufc44

Femtopat
Katılım
2 Ekim 2021
Mesajlar
62
Pdo ile yaptığım bir Script'te csrf, error message ve SQL injection açıkları çıkıyor bunları nasıl engelleyebilirim?
 

Dosya Ekleri

  • Ekran Alıntısı.PNG
    Ekran Alıntısı.PNG
    115,7 KB · Görüntüleme: 31
Son düzenleme:
Katılım
9 Haziran 2016
Mesajlar
578
Makaleler
1
Çözümler
16
Pdo ile yaptığım bir Script'te csrf, error message ve SQL injection açıkları çıkıyor bunları nasıl engelleyebilirim?
Öncelikle belirteyim kendi yaptığınız scripti iyice güvenli hale sokabilmek için üzerinde uzun uzadıya uğraşmanız gerekiyor. Tecrübeniz azsa veya yoksa bu sizin kolay yapabileceğiniz bir şey maalesef değildir.
Acunetix tarzı programlar sadece bariz açıkları bulabiliyor. Görünen bu kadar açık varsa daha neler vardır bir düşünün istedim.

Size tavsiyem bir framework'e yönelmenizdir. Büyük ihtimalle sitenizi php ile yaptınız. PHP için Laravel framework'ünü size önerebilirim. Kendisini ben de aktif kullandım, hem kullanması kolay hem de güvenli bir framework'tür. Onun dışında CodeIgniter'a da yönelebilirsiniz.

Ben illa da kendi scriptimi yapacağım, bana akıl verme sorunu çöz diyorsanız şu adımları izleyin:
  1. Asla direkt olarak SQL soruglarının içine gelen değişkeni doğrudan göndermeyin. Mutlaka strip_tags ve str_replace ile sorun çıkarabilecek değişkenleri değiştirin
  2. Elinizden geldiğince POST metoduyla işlem yapmaya çalışın. Query'e veri gönderip o veriyi okutmayın. Query verileri rahatlıkla kullanıcı tarafından değiştirilebilir.
  3. CSRF koruması için tokenli istek doğrulaması yapın.
Bu adımları izledikten sonra tekrar sitenizi taratın. Eğer bir sorunla karşılaşırsanız size birebirde yardımcı olabilirim. İyi çalışmalar.
 
KS
KS
Yusufc44

Yusufc44

Femtopat
Katılım
2 Ekim 2021
Mesajlar
62
Öncelikle belirteyim kendi yaptığınız scripti iyice güvenli hale sokabilmek için üzerinde uzun uzadıya uğraşmanız gerekiyor. Tecrübeniz azsa veya yoksa bu sizin kolay yapabileceğiniz bir şey maalesef değildir.
Acunetix tarzı programlar sadece bariz açıkları bulabiliyor. Görünen bu kadar açık varsa daha neler vardır bir düşünün istedim.

Size tavsiyem bir Framework'e yönelmenizdir. Büyük ihtimalle sitenizi PHP ile yaptınız. PHP için laravel Framework'ünü size önerebilirim. Kendisini ben de aktif kullandım, hem kullanması kolay hem de güvenli bir Framework'tür. Onun dışında codeıgniter'a da yönelebilirsiniz.

Ben illa da kendi scriptimi yapacağım, bana akıl verme sorunu çöz diyorsanız şu adımları izleyin:
  1. Asla direkt olarak SQL soruglarının içine gelen değişkeni doğrudan göndermeyin. Mutlaka strip_tags ve str_replace ile sorun çıkarabilecek değişkenleri değiştirin
  2. Elinizden geldiğince post metoduyla işlem yapmaya çalışın. Query'e veri gönderip o veriyi okutmayın. Query verileri rahatlıkla kullanıcı tarafından değiştirilebilir.
  3. Csrf koruması için tokenli istek doğrulaması yapın.
Bu adımları izledikten sonra tekrar sitenizi taratın. Eğer bir sorunla karşılaşırsanız size birebirde yardımcı olabilirim. İyi çalışmalar.

Dediklerinizi zaten yapmıştım hocam ama yine de bu açıklar çıktı,

Peki madem o zaman laravel daha iyi ve açıklarla uğraştırmıyor şöyle hızlı öğrenebileceğim bir kaynak tavsiyesi var mı elinizde programlamada amatör olduğumu göze alın okullar açılmadan önce öğrenmek istiyorum mümkünse çünkü o zaman zamanım olmayacak.
 
Katılım
9 Haziran 2016
Mesajlar
578
Makaleler
1
Çözümler
16
Dediklerinizi zaten yapmıştım hocam ama yine de bu açıklar çıktı,

Peki madem o zaman laravel daha iyi ve açıklarla uğraştırmıyor şöyle hızlı öğrenebileceğim bir kaynak tavsiyesi var mı elinizde programlamada amatör olduğumu göze alın okullar açılmadan önce öğrenmek istiyorum mümkünse çünkü o zaman zamanım olmayacak.
YouTube'da Tayfun Erbilen'in videolarını izleyebilirsiniz. Kendisi gayet iyi anlatıyor fakat ben sizin kendiniz deneyerek öğrenmenizden yanayım.
 
KS
KS
Yusufc44

Yusufc44

Femtopat
Katılım
2 Ekim 2021
Mesajlar
62
YouTube'da tayfun Erbilen'in videolarını izleyebilirsiniz. Kendisi gayet iyi anlatıyor fakat ben sizin kendiniz deneyerek öğrenmenizden yanayım.

Evet bende zaten var olan PHP bilgimi tayfun erbilenden öğrenmiştim, PHP Türkiye kanalını izledim laraveli öğrenmeyi geçin daha laraveli kuramıyorum, composere kodları giriyorum hatalar veriyor.
 
KS
KS
Yusufc44

Yusufc44

Femtopat
Katılım
2 Ekim 2021
Mesajlar
62
Aldığınız hatalarla ilgili tekrardan bir konu açarsanız yardımcı olabilirim.

Hocam şu konuya bir göz atar mısınız?

 
Katılım
9 Haziran 2016
Mesajlar
578
Makaleler
1
Çözümler
16
Hocam şu konuya bir göz atar mısınız?

İlgileniyorum hocam.
 

Yeni konular

Yukarı