LZ3G – Webmaster Blog! php, Mysql, JQuery, Java, Wordpress

Php Güvenlik İşlemleri.

Php Güvenlik İşlemleri :

PHP’nin güvenlik zafiyetleri olduğu, bir çok anlamda yetersiz bir dil olduğu söyleniyor. Hatta Unix camiasının istenmeyen çocuğu gibi. Görüşüm, bu durumun, kaliteli PHP programcılarının (PHP Hackers) olmamasından ve PHP’nin nispeten kolay öğrenilen bir dil olmasından kaynaklanıyor. Bu da ilk olarak güvenlik konusunda zafiyetlere yol açıyor. Şimdi güvenlik konusuna girelim.
Şu kesin; hiç sağ elinle sol kulağını tutmadan, bazı yöntemleri uygulayarak güncel web zafiyetlerinin %80 inden kaçmak mümkün. Ve bu PHP’de çok kolay bir şekilde yapılabilir.

1.Register Globals

Her güvenlik yazısında yüzlerce kere değinilmesine rağmen hala Register Globals kullanabilecek insanların olması ürkütücü! Bilindiği gibi Register Globals, $_Request (POSTve GET) değişkenlerini sanki o belgede tanımlanmış değişkenlermiş gibi göstererek direk o değişkene erişilmesine olanak verir.

register_globals.php
<?php echo $ornek; ?>

2.Form Değişkenlerin Kontrolü ve Cross Site Scripting
Yine yüzlerce kere değinilen bir konu, motto şu: “Kullanıcıya asla güvenme!” . Kullanıcıdan aldığımız her şeyi önce acaba bu nükleer bir atık mı, hediye paketi süsü verilmiş bir bombamı, yoksa masum bir istek mi diye eldivenleri takıp laboratuar şartlarında incelememiz gerekir. Bir örnek vermek gerekirse şu yeter sanırım:


<form action="reset.php" method="GET">

<table>

<tr>
<td>Kullanıcıadı</td>

<input type="text" name="kad"/></td>
</tr>


<tr>
<td>Parola</td>

<input type="text" name="email"/></td>
</tr>


<tr>
<td></td>
<td><input type="submit" value="Kurtar" /></td>
</tr>

  </table>

</form>

 
<?php $kad = $_GET['kad']; $email = $_GET['email]; function kurtar($kad ,$email) { //Kullanıcı adını veritabanından sorgula ve email adresine gerekli bilgileri yolla. } ?>