PHP ile form verileri gönderirken basit güvenlik önlemleri

- hmustak
Yorum yazılmamış Yorum bırakın

İncelediğim kadarıyla son yıllarda oldukça sıkı ve neredeyse eksiksiz veritabanı sınıfları yazılmış. Basit bir giriş için bile bu sınıfların ağır geldiği durumlar oluşabiliyor. Bende bu sorunum için kendime basit/minik bir çalışma yaptım. Gelecekte ihtiyaç duyma ihtimalime karşı burada not alarak paylaşmak istedim. Tabi unutulmamalıdır ki güvenlik ciddi bir şekilde ele alınması gereken önemli bir geliştirme adımıdır. Asla gözardı edilmemeli, asla basit bir geçiştirme ile ele alınmamalıdır. Yazımın sonunda bu anlamda bir kaç önerim daha olacak.

Öncelikle basit bir giriş arayüzü hazırladım. Inputlarımızın isimleri email ve pass

security-form

 

Bu formumuzda üretilen veriyi post ile gönderdiğimiz dosyamızın adı gelen.php  . Bildiğiniz gibi geliştiricilerin çoğu php dosyalarının sonunda php etiketini kapatırlar. Bu bazen nedenini anlamıdığımız boşlukların oluşmasına sebebiyet verebiliyor. Bu sebeple bu PHP dökümanlarınızın etiketlerini kapatmayın, bizde kapatmıyoruz. Örnek verelim;

Eski anlayış;

<?php
/**
 * User: hmustak
 * Date: 12.09.2016
 */

// Eski Anlayış
function hata($mesaj){
    return $mesaj;
}

?>

Yeni anlayış;

<?php
/**
 * User: hmustak
 * Date: 12.09.2016
 */

// Yeni Anlayış
function hata($mesaj){
    return $mesaj;
}

Gelen verileri işlediğimiz gelen.php dosyası ile ilgili bir detaya daha dikkat ediyor olacağız; direkt konumuz değil ama gelen verileri veritabanımız üzerinde sorgulayacak ve çekeceğimiz için PHP grubu, kendi sitelerinde de duyurdukları üzere PHP5.5’den itibaren mysql_  ile başlayan etiketleri kaldırdı ve  destek vermiyor olacak. Geliştirmelerinizde buna dikkat etmenizi önereceğim.

deprecated

Yazıda da gördüğünüz üzere bunun için kullanılmasını önerdiği alternatifler: PDO (Php Data Objects), Mysqli (Mysql Improved Extension). Yazımızın konusu basit güvenlik olduğu için şimdi değil ama müsait bir zamanda özellikle PDO konusunda bir şeyler yazmak istiyorum.

Sonunda geldik gelen.php dosyamıza;

// Post ile gelen basit veri güvenliğini sağlayan fonksiyon
function guvenlik($gelen){
    $giden = addslashes($gelen);
    $giden = htmlspecialchars($giden);
    $giden = strip_tags($giden);
    $giden = htmlentities($giden);
    return $giden;
}


// MySQL Bağlantı
    $mysql_connection = new mysqli($mysql_host, $mysql_user, $mysql_pass, $mysql_db);

// Gelen Bilgiler
    $gelen_email = mysqli_real_escape_string($mysql_connection, guvenlik($_POST['email']));
    $gelen_pass  = mysqli_real_escape_string($mysql_connection, guvenlik($_POST['pass']));

echo $gelen_email . "-" .  $gelen_pass ;

Gördüğünüz gibi gayet basit ama etkili.

  • POST ile gelenleri önce guvenlik() fonksiyonumuza gönderiyoruz
    • Güvenlik fonksiyonumuz altında sırasıyla addslashes, htmlspecialchars, strip_tags, htmlentities alt fonksiyonlarından geçiyor
  • Sonra mysqli_real_escape_string fonksiyonumuza mysql bağlantımızla tekrar sokup, son halini veriyoruz.

Hakan Müştak @2016/08

Kaynakça;
http://php.net/manual/tr/function.addslashes.php
http://php.net/manual/tr/function.htmlspecialchars.php
http://php.net/manual/tr/function.strip-tags.php
http://php.net/manual/tr/function.htmlentities.php
http://php.net/manual/en/mysqli.real-escape-string.php
http://php.net/manual/tr/class.pdo.php
http://php.net/manual/en/class.mysqli.php

 

Okunma: 3.147

Bunlara göz atabilirsiniz:

  1. Bash Shell’de Güvenlik Açığı Az önce kodcu.com’da okudum, eskiden bash script’le uğraşmış biri olarak itiraf edeyim -ilk etki olarak- çok şaşırdığım bir haber. Stephane Schazelas tarafından keşfedilen bu açık, birçok Linux ve Unix işletim sistemlerinde kullanılan bash shell üzerinde özel hazırlanmış saldırılarla işletim sistemlerini zor durumda bırakabileceği belirtilmiş. Açığın çevre değişkenlerini kullandığını da belirtmek gerek. Birçok linux dağıtımı için (Ubuntu, CentOS, […]...
  2. PHP ile Dizin içindeki resimleri gösterelim Eski dostum PHP! Sektörün acımasız yanlarından biri olan hiç kod yazmadan yazılım şirketi (aslında website yapan-satan) yöneten bir arkadaşıma ihtiyaç duyduğu için ufak bir destekte bulundum. En son kaç yıl önce PHP ile uğraştığımı bile hatırlamıyorum halbuki. Sadede gelirsek image gallery’si bozulduğu için temel bir listeleme uygulamasına ihtiyacı vardı. Basitçe gösterdiği dizin içinde bulunan resimleri alacak, kalanı da […]...
  3. Python kullanarak basit bir keylogger yazalım Geçen haftalarda oğlumun yaşı itibarıyla çok merak duyduğu, bilgisayar ile ilişkili illegal çalışmaların hep 16 yaşında ve kapşonlu tiplerin uğraş alanı sanması üzerine konuşmamıza istinaden hazırladığım bir uygulamayı burada paylaşmak istiyorum. Zaman bulursam hiç bir zaman aktif bulunamadığım tozlanmış, küflenmiş github hesabıma da atıp zaman içinde geliştirmeyi de amaçlıyorum. Okunma: 6.784...
  4. Warning: date(): It is not safe to rely on the system’s timezone settings… Başlıkta bir hata yok 🙂 Geçen yazımda bahsettiğim eski bir dostuma verdiğim PHP desteği sonrası aktif bilgisayarıma AMPPS kurdum ve biraz kendimi PHP’de güncelleyeyim istedim. Ne de olsa eski dost. Fakat yazdığım ilk ciddi kod blogunu test ederken başlıkta gördüğünüz “Warning: date(): It is not safe to rely on the system’s timezone settings.” hatasını aldım. Sorun […]...
  5. WordPress şifresini phpMyAdmin üzerinden değiştirmek Geçen yazımda taşındığımdan bahsetmiştim. Taşınma sırasındaysa her şeyin ne kadar güzel, ne kadar sorunsuz ve benim nasıl pembe bulutların üzerinde olduğumdan bahsetmiştim. Taşınma sonrası, yaşadığım en ciddi (belkide tek) sıkıntı WordPress Şifremi değiştirmek zorunda kalışımdı. Malumunuz ki, Chrome şifreleri kaydettiği için artık akılda tutmuyoruz. Ne büyük hata aslında. Neyse ki phpMyAdmin üzerinde user tablosunu biraz inceledikten sonra […]...
  6. Aldatma Sanatı – Kevin D. Mitnick Bir dönem ortalığı kasıp kavuran Kevin D. Mitnick, özellikle 90 kuşağı ile yetişen bilgisayarcıların yakından tanıdığı, kendine idol yaptığı dünya çapında bir Hacker eskisi diyebiliriz. Kendisi bilgisayar dünyasının tartışmasız en ünlü korsanıdır. Fotoğrafı FBI’in “En Çok Arananlar” listesinde yer alan ilk hacker olarak kayıtlara geçti ve neredeyse listeden hiç düşmedi. “İflah olmaz bir suçlu” olan […]...
  7. Gelen değişkenleri ve değerlerini ekrana yazalım [PHP] Şu anda kendime hazırladığım bir takip uygulaması üzerinde, birlikte çok sayıda veriyi post ile alıp, değerlerini bir arada görmem gerekti. Bu sıkıntı, spagetti form içinde cereyan eden ve çok kolay bulunamayan alan isimleri ve onlara atanan değerler sebebiyleydi. Gönderilen tüm değişken anahtar ve değerlerini aşağıdaki gibi ekrana basıp, devam ettim; Okunma: 1.549...
  8. C# – Fibonacci Dizisi Fibonacci dizisi nedir? Fibonacci dizisi, her sayının kendinden öncekiyle toplanması sonucu oluşan bir sayı dizisidir. Bu şekilde devam eden bu dizide sayılar birbirleriyle oranlandığında altın oran ortaya çıkar, yani bir sayı kendisinden önceki sayıya bölündüğünde altın orana gittikçe yaklaşan bir dizi elde edilir. Bu durumda genel olarak n’inci Fibonacci sayısı F(n) şu şekilde ifade edilir: […]...
  9. Linux Mint üzerine BackTrack 5 deposu Sürekli işletim sistemi değiştirmekten yorulduğum için aktif kullandığım Linux Mint 15 Oliva üzerine Backtrack tool’larını yüklemek için bir yol baktım. Kaynak listesine Backtrack 5 Repository’leri eklemek suretiyle kullanabiliyorsunuz. Peki neden BackTrack kullanalım ki diyeceksiniz (ki bu yazıyı okuyan çoğunluk demeyecektir eminim); pentest (penetrasyon testleri) için güncel ve ideal çözümleri kurulu hazır bulmak, tam operasyonun ortasında “bide […]...
  10. Linux Mint üzerine Kali Linux deposu BURADA  anlattığım Linux Mint üzerine BackTrack 5 deposu ekleme sonrası Backtrack işletim sisteminin uzantısı ve güncel çalışmalarda tercih edilen Kali Linux’un depolarını da nasıl ekleyeceğimizi not etmek istedim. Temelde farklı değil. Önce sudo -s ile root oldum ve gene source.list’i açtım. pluma /etc/apt/sources.list ardından source.list üzerine Kali Linux depolarını (bulup) ekledim. Okunma: 4.143...

Kategori: Güvenlik, ipucu, Kod, php, Script
Etiket: , , , , , , , , , , ,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

question razz sad evil exclaim smile redface biggrin surprised eek confused cool lol mad twisted rolleyes wink idea arrow neutral cry mrgreen

*

Captcha Kontrolü * Zaman aşımı, sayfayı tekrar yükleyin


Top