Ilk önce HTMl Injection saldirisi nasil olur ona bir değinelim..
Önrk: Sizin bir scriptinizde yorum yapma sayfası var ve $_POST filtrelenmemişse Defacer olarak adlandırılan bu kişi Yorum Yazalabilece kısma Yönlendirme META olarak adlandırılabilen kodu koyup sizin sitenizin o sayfasını yönlendirip DEFACE edebilir bazıları onay sistemi kurup bunun üstesinden gelebilir ancak ona gerek duymadan biz bu işi htmlspecialchars() ve trim() den geçirirsek halledebiliriz
Örnek bir Sorgu oluşturulalim..
Gördüğünüz gibi Filtreleme işini yaptik ancak tabiki sizde kendinize göre güvenlik fonksiyonları kullanabilirsiniz..Ben bütün scritplerimde HTML Injection a karşi bu fonksiyonları kullanıyorum tavsiye ederim yani
Önrk: Sizin bir scriptinizde yorum yapma sayfası var ve $_POST filtrelenmemişse Defacer olarak adlandırılan bu kişi Yorum Yazalabilece kısma Yönlendirme META olarak adlandırılabilen kodu koyup sizin sitenizin o sayfasını yönlendirip DEFACE edebilir bazıları onay sistemi kurup bunun üstesinden gelebilir ancak ona gerek duymadan biz bu işi htmlspecialchars() ve trim() den geçirirsek halledebiliriz
Örnek bir Sorgu oluşturulalim..
Kod:
if(isset($_POST['gonder'])){
$deneme = htmlspecialchars(trim($_POST['textfield']));
//veriyi veritabanına almadan önce htmlspecialchars() ve trim()
//fonksiyonuna alıp öyle değişkene atadık.
//Böylece veri html taglarından arındırıldı.
$kaydet = mysql_query("INSERT INTO deneme VALUES(lisanssız,'$deneme')");
if($kaydet){
echo 'Kaydedildi';
}else{
echo 'Kayıtta hata oluştu';
}
}