Üyelik Scripti Yazma

Atakan Ermiş · 22 Mart 2016

Sıfırdan bir üyelik scripti yazıyorum. Ancak bazı şeyler ters gitti.

PHP:

include '/home/u819312162/db.php';


$kullaniciadi = $_POST['kullanici'];
$kullanicisifre = $_POST['sifre'];
$guvenli_sifre = md5( $kullanicisifre );

if( !$kullanici || !$sifre ){
  echo 'Eksik bilgiler var. Lütfen düzeltin.';
}else{
  $test = mysqli_query($baglanti, "SELECT * FROM uyelik WHERE kullanici = '$kullanici' && sifre = '$guvenli_sifre' ");

  if( !mysqli_affected_rows($baglanti) ){
  echo 'Kullan&#305;c&#305; ad&#305;n&#305;z veya &#351;ifreniz yanl&#305;&#351;.';
  }else{
 
    echo 'anan';
 
  }
}

Bu kodlamada forma yanlış bilgi girsem bile "anan" verisini yazdırıyor. Hatta girmesem de yazdırıyor. Sorun nedir?

Edit: Sitenin linki: MobilTurk - Admin Panel Girişi

HASAN ACAR · 6 Nisan 2016

Kod:

$kullaniciadi = $_POST['kullanici'];

Üstteki kullanım, güvenlik açısından problemli. Üyelik sisteminiz hacklenir. $_POST ile gelen veriyi önce filtreden geçirmelisiniz.
Örnek:

Kod:

$kullaniciadi = mysql_real_escape_string(filter_input(INPUT_POST, 'kullanici', FILTER_SANITIZE_MAGIC_QUOTES));

Veritabanına PDO ile bağlanmak güvenlik açısından tavsiye edilmekte.

Kod yazmak mesele değil, önemli olan güvenli, hızlı, esnek ve daha sonra da kullanılabilir kod yazabilmek.

Üyelik sistemi yazma işinden önce yazılmışları incelemenizi tavsiye ederim.

Üyelik Scripti Yazma

Ayrıntılı düzenleme

Atakan Ermiş

Kilopat

HASAN ACAR

Hectopat

Benzer konular

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz