PHP ile Basit Sql İnjection önlemi yazısına yapılan yorumlar http://www.gurkanoluc.com/php-ile-basit-sql-injection-onlemi Azıcık Web, Azıcık Sohbet Sun, 12 Oct 2008 11:47:49 +0000 http://wordpress.org/?v=2.6.2 gökhan bora tarafından http://www.gurkanoluc.com/php-ile-basit-sql-injection-onlemi#comment-1457 gökhan bora Wed, 26 Mar 2008 12:34:19 +0000 http://www.gurkanoluc.com/php-ile-basit-sql-injection-onlemi#comment-1457 son eklediğim fonksiyon şu şekilde olmalıydı. aynı sonucu döndürüyor ama daha az iş yapııyor. function addescape($text) { if(get_magic_quotes_gpc()) { $text = stripslashes($text); } $text = mysql_real_escape_string($text); return $text; } son eklediğim fonksiyon şu şekilde olmalıydı. aynı sonucu döndürüyor ama daha az iş yapııyor.

function addescape($text) {
if(get_magic_quotes_gpc()) {
$text = stripslashes($text);
}
$text = mysql_real_escape_string($text);
return $text;
}

]]> gökhan bora tarafından http://www.gurkanoluc.com/php-ile-basit-sql-injection-onlemi#comment-1168 gökhan bora Wed, 02 Jan 2008 06:30:27 +0000 http://www.gurkanoluc.com/php-ile-basit-sql-injection-onlemi#comment-1168 yazdığınız fonksiyonda yanılmıyorsam bir hata var. yazımda magic_quotes_gpc ye direk gpc diyeceğim. çünkü yazması dert. şimdi gelen veri gpc açık ise slashlardan arındırılıyor. ama gpc kapalı ise slashlar ekleniyor. amaç gpc nin durumunu kontrol ederek veriye slashlar eklemek. bu fonksiyon gpc nin açık veya kapalı olmasını kontrol edip her türlü durumda aynı sonucu döndürmeli. ama bu fonksiyon gpc durumunun farklı olduğu sunucularda farklı sonuçlar dönderecektir. buda sunucu sahibinib gpc yi değiştirmesi durumunda aksaklıklara neden olacaktır. şöyle yapılabilirdi. mantığı şu yani: eğer gpc açık ise veriye slashlar eklenmiştir zaten. eğer kapalı ise slashları biz ekleyecez. yani sonuç olarak gpc açıkta olsa kapalıda olsa slashlar eklenmiş veriyi elde edeceğiz. ardından mysql_real_escape_string ile tekrar veriye slashlar eklenip veriler veritabanına slashlarla birlikte kaydedilebilir. ama verilerin veritabanına slashsız olarak kaydedilmesini ve sadece sql injectiona karşı önlem alınmasını istiyor olabilirsiniz. bu durumda gpc yi kontrol edip eğer açık ise bir kere stripslashes uygulayarak slashardan arındırılmasını, eğer gpc açık değil ise veriye aynen ulaşılmasını sağlamalıyız ve sonra mysql_real_escape_string ile veri injection'a karşı temizlenmiş olarak sorguya sokulabilir. örnek bir fonksiyon function addescape($text) { if(get_magic_quotes_gpc()) { $text = stripslashes($text); } $text = addslashes(mysql_real_escape_string($text)); return $text; } yukardaki fonksiyon sql injection engelleyecektir ve veriler veritabanında slashlı bir şekilde kaydedilecektir. function addescape($text) { if(!get_magic_quotes_gpc()) { $text = addslashes($text); } $text = stripslashes(mysql_real_escape_string($text)); return $text; } yukarıdaki fonksiyon ise gene sql injection'ı engelleyecektir. ama ilk fonksiyondan farklı olarak veri veritabanında slashsız olarak bulundurulacaktır. yazdığınız fonksiyonda yanılmıyorsam bir hata var.
yazımda magic_quotes_gpc ye direk gpc diyeceğim. çünkü yazması dert.

şimdi gelen veri gpc açık ise slashlardan arındırılıyor. ama gpc kapalı ise slashlar ekleniyor.
amaç gpc nin durumunu kontrol ederek veriye slashlar eklemek. bu fonksiyon gpc nin açık veya kapalı olmasını kontrol edip her türlü durumda aynı sonucu döndürmeli. ama bu fonksiyon gpc durumunun farklı olduğu sunucularda farklı sonuçlar dönderecektir. buda sunucu sahibinib gpc yi değiştirmesi durumunda aksaklıklara neden olacaktır.

şöyle yapılabilirdi. mantığı şu yani: eğer gpc açık ise veriye slashlar eklenmiştir zaten. eğer kapalı ise slashları biz ekleyecez. yani sonuç olarak gpc açıkta olsa kapalıda olsa slashlar eklenmiş veriyi elde edeceğiz. ardından mysql_real_escape_string ile tekrar veriye slashlar eklenip veriler veritabanına slashlarla birlikte kaydedilebilir.

ama verilerin veritabanına slashsız olarak kaydedilmesini ve sadece sql injectiona karşı önlem alınmasını istiyor olabilirsiniz. bu durumda gpc yi kontrol edip eğer açık ise bir kere stripslashes uygulayarak slashardan arındırılmasını, eğer gpc açık değil ise veriye aynen ulaşılmasını sağlamalıyız ve sonra mysql_real_escape_string ile veri injection’a karşı temizlenmiş olarak sorguya sokulabilir.

örnek bir fonksiyon

function addescape($text) {
if(get_magic_quotes_gpc()) {
$text = stripslashes($text);
}
$text = addslashes(mysql_real_escape_string($text));
return $text;
}

yukardaki fonksiyon sql injection engelleyecektir ve veriler veritabanında slashlı bir şekilde kaydedilecektir.

function addescape($text) {
if(!get_magic_quotes_gpc()) {
$text = addslashes($text);
}
$text = stripslashes(mysql_real_escape_string($text));
return $text;
}

yukarıdaki fonksiyon ise gene sql injection’ı engelleyecektir. ama ilk fonksiyondan farklı olarak veri veritabanında slashsız olarak bulundurulacaktır.

]]>