Xoş gəldiniz!

Saytdan tam sekilde istifade etmek ucun ele indice qeydiyyatdan kecin

İndi Qeydiyyatdan Keçin!

php Sql injecton açığı

S

SandWorm

Guest
Çox sistemin əvvəldən və hələdə gümüzdə aktif olaraq buraxılan təhlükəszilik açığı “Sql Injection” yəni verilənlər bazası zəhərləmə işləmi.

Bəs bu “SQL Injection” nə işə yarıyır?

SQL Injection zəifliyi saytın verilənlər bazasına sızaraq məlumatların oğurlanmasına səbəb ola bilər.

Bəs bu proses necə həyata keçirilir?

Bu açıq php ilə verilənlər bazası sorğu edərkən string uygulaması ilə sql-də məsələn olaraq yazılar verilənlər bazasında axtarış edərkən o axtarışı dayandırı fərqli bir verilənlər bazasına keçib orada kı verilənləri göstərməsidir qısaca php ilə saytınızın axtarış bölümüə etdiiyniz axtar.php?s=yazi

Bəs bu problemi necə aradan qaldıraq?

Bunun üçün qısa bir funksiya hazırlamışıq, bu funksiya ilə siz aldığınız məlumatları sorğulaya biləcəksiniz.

<?php
function koruma($k) {
if(preg_match("/[\-]{2,}|[;]|[']|[\\\*]/",$k)) {
echo '';
exit;
} else {
echo '';
}
}

koruma($_GET["ara"]);
?>
Funksiya bu şəkildə bir işləm edər , veridə sql injection karakterləri varsa yəni ‘ kimi karakterlər varsa exit; ataraq bütün işləmləri sonlandırır.

koruma($veri); bu formada sorğu edə bilərsiniz.
 
2

xson

Try hard
Moderator
Qoşuldu
24 Avgust 2022
Mesajlar
79
Reaksiya hesabı
15
Xallar
18
Məkan
Baku, Azerbaijan
Web sayt
qutb.az
Dırnaqlar varsa slashlar varsa str replace ilə onları silə də bilərsiz , və ya no qoutes ilə dırnaqları silə bilərsiz əvəzinə &quot şəklində qalar və s.
 
2

LOCALHOST

Aktiv üzv
WebMaster
Qoşuldu
3 Sentyabr 2022
Mesajlar
90
Reaksiya hesabı
33
Xallar
18
Salam, təşəkkürlər.
Mən qabağ core php ilə yazanda addslashes, htmspacielchars, striptags ilə filterləyirdim sorğuları.
Laravelə keçəndən laravelin öz ORM və QUERY BUİLDER sistemi bunları özü filtirləyir.
Amma yenədə bəzən row sql yazanda yenə yuxarıda yazdıqım filtirlər lazım olur
 
2

LOCALHOST

Aktiv üzv
WebMaster
Qoşuldu
3 Sentyabr 2022
Mesajlar
90
Reaksiya hesabı
33
Xallar
18
Laraveldə adicə insert əməliyyatı ORM ilə bu qədər sadə və optimizə edilmiş formadadır.

PHP:
User::create(['name' => 'Demo']);
 
S

SandWorm

Guest
Salam, təşəkkürlər.
Mən qabağ core php ilə yazanda addslashes, htmspacielchars, striptags ilə filterləyirdim sorğuları.
Laravelə keçəndən laravelin öz ORM və QUERY BUİLDER sistemi bunları özü filtirləyir.
Amma yenədə bəzən row sql yazanda yenə yuxarıda yazdıqım filtirlər lazım olur
Dəyməz
 
Üst