PHP Üzerinde Birkaç Basit Güvenlik Önlemi
Yaptığımız web site uygulamaları üzerinde her ne kadar güvenlik önlemi alıp güvenli bir sistem oluşturduğumuzu düşünsekte, hiç bir sistem yüzde yüz olarak güvenli değildir. Aldığınız her türlü güvenlik önlemi bir şekilde aşılabilir.
Güvenlik konusunda bence dikkat edilmesi gereken en büyük olay kullanıcıdır. Her kullanıcıya potansiyel suçlu gözüyle bakmak ve siteyi ona göre yapılandırmak gerekir. Sitenizi ziyaret eden kullanıcı her ne kadar sitenize zarar vermek amacında olmasada, kullanıcıya tam olarak güvenmemelisiniz. Özellikle üyelik sistemi olan sitelerin üye kayıt ve giriş sayfalarında gerekli güvenlik önlemlerini almanız gerekmektedir. Bizde bu konudan haraket ederek alabileceğimiz güvenlik önlemlerine bakalım...
Form verileri site için oldukça büyük güvenlik sorunu teşkil etmektedir. Form verilerinizi gönderirken Method olarak GET yerine POST özelliğini kullanmalısınız.Form dan gelen verilerinizi zararlı kod içerebileceği ihtimali üzerine mutlaka verilerini filtrelemelisiniz. Bu filtrelemeyi yapmadığınız zaman sitenizde en büyük açıklardan biri; SQL Injection saldırısına uğrama ihtimaliniz yüksektir. Oluşabilecek bir diğer önemli açık ise XSS açığıdır. XSS (Cross Site Scripting) açığı scriptlerin kodlanmasındaki eksiklerin neden olduğu bir açıktır. XSS açığı ile kötü niyetli kişiler siteniz
üzerinde istedikleri zararlı kodları çalıştırabilirler. Peki bu açıkları nasıl önleyebilirsinzi?
XSS açığından korunmak için alabileceğiniz basit önlemler; gelen form verilerinizi filtrelemektir. Bu filtreleme işlemini basit birkaç PHP komutu ile yapabilirsiniz.
Yukarıdaki komut ile formdan gelen verileriniz içerisindeki html taglarını temizleyebilirsiniz.Eğer sitenizdeki formdan kullanıcının gönderdiği veri içerisinde html kodu olmasını istiyorsanız yukarıdaki komutu aşağıdaki şekilde kullanarak istediğiniz html tagına izin verebilirsiniz.
Yaptığımız web site uygulamaları üzerinde her ne kadar güvenlik önlemi alıp güvenli bir sistem oluşturduğumuzu düşünsekte, hiç bir sistem yüzde yüz olarak güvenli değildir. Aldığınız her türlü güvenlik önlemi bir şekilde aşılabilir.
Güvenlik konusunda bence dikkat edilmesi gereken en büyük olay kullanıcıdır. Her kullanıcıya potansiyel suçlu gözüyle bakmak ve siteyi ona göre yapılandırmak gerekir. Sitenizi ziyaret eden kullanıcı her ne kadar sitenize zarar vermek amacında olmasada, kullanıcıya tam olarak güvenmemelisiniz. Özellikle üyelik sistemi olan sitelerin üye kayıt ve giriş sayfalarında gerekli güvenlik önlemlerini almanız gerekmektedir. Bizde bu konudan haraket ederek alabileceğimiz güvenlik önlemlerine bakalım...
Form verileri site için oldukça büyük güvenlik sorunu teşkil etmektedir. Form verilerinizi gönderirken Method olarak GET yerine POST özelliğini kullanmalısınız.Form dan gelen verilerinizi zararlı kod içerebileceği ihtimali üzerine mutlaka verilerini filtrelemelisiniz. Bu filtrelemeyi yapmadığınız zaman sitenizde en büyük açıklardan biri; SQL Injection saldırısına uğrama ihtimaliniz yüksektir. Oluşabilecek bir diğer önemli açık ise XSS açığıdır. XSS (Cross Site Scripting) açığı scriptlerin kodlanmasındaki eksiklerin neden olduğu bir açıktır. XSS açığı ile kötü niyetli kişiler siteniz
üzerinde istedikleri zararlı kodları çalıştırabilirler. Peki bu açıkları nasıl önleyebilirsinzi?
XSS açığından korunmak için alabileceğiniz basit önlemler; gelen form verilerinizi filtrelemektir. Bu filtreleme işlemini basit birkaç PHP komutu ile yapabilirsiniz.
Gizli içerik
Yukarıdaki komut ile formdan gelen verileriniz içerisindeki html taglarını temizleyebilirsiniz.Eğer sitenizdeki formdan kullanıcının gönderdiği veri içerisinde html kodu olmasını istiyorsanız yukarıdaki komutu aşağıdaki şekilde kullanarak istediğiniz html tagına izin verebilirsiniz.
