mesela, bir yazı scripti, yorumlama da var. eğer yaziid veya onay gibi bir veriyi input ile yolluyorsanız, uyanık birisi çıkıp bu veriyi değiştirebilir ve karışıklıklara yol açabilir. bunları sessionlarla ya da doğrudan sorgudan yollamaya özen gösterin.
bütün post verilerini filtreleyin, sql injection veya başka hack girişimlerine izin vermemiş olursunuz. benim her zaman kullandığım filtreleme fonsiyonu aşağıda, bununla filtreleseniz yeterli olur.
PHP Kodu:
if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")
{
$theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
$theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);
switch ($theType) {
case "text":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "long":
case "int":
$theValue = ($theValue != "") ? intval($theValue) : "NULL";
break;
case "double":
$theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
break;
case "date":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "defined":
$theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
break;
}
return $theValue;
}
}
$_POST['veri'] yerine, GetSQLValueString($_POST['veri'], "text")
"text" kısmını int olarak da değiştirebilirsiniz, sadece sayı girilecekse bu bölümde. bu fonksiyon aynı zamanda verinin başına ve sonuna ' ekler ve içindeki ' karakterlerini \' haline getirir. yani doğrudan sql'e giriş için hazırlar.
veritabanında bir session tablosu oluşturup bütün ip'leri tek tek buraya kaydettirmeniz, flood saldırılarına karşı etkili olmanızı sağlar. mesela, ip adresini ve aktivite zamanını kaydedersiniz tabloya. her hareketinde zamanı güncellersiniz. kişinin 1 sn içinde 1'den fazla sayfaya girmesini engelleyerek de kötü niyetli kişilerin verebileceği zararları azaltmış olursunuz.
mysql bağlantısı kurarken, sunucunuzun özelliklerine ve ayarlarına göre, mysql_connect veya mysql_pconnect arasında karar vermelisiniz. mysql_pconnect kullandığınızda mysql_close kullanmanıza gerek kalmayacaktır, çünkü mysql_pconnect ile kullanıcı başına bir bağlantı soketi açarsınız ve bu bağlantı soketi, timeout'a uğradığında kendisi kapanır, bu yüzden bu timeout süresi kısa tutulmalıdır. Yüksek hitli sitelerde bu tercih edilmelidir. mysql_connect kullanıldığında ise, bunu her seferinde mysql_close ile kapatmazsanız sunucuyu mahfedersiniz, load havalara uçar. çünkü mysql_connect, her kullanıcının her sorgusu için ayrı ayrı bağlantı soketi açmaktadır, mysql_close ile bunlar kapatılmadığında sunucu kendinden geçer.
mümkün olduğu kadar veritabanı sorgularınızı basit tutun. mesela, yazi tablosunda kaç satır olduğunu gösterecekseniz, select * from yazi yapacağınıza select id from yazi şeklinde oluşturun sorgunuzu. bu şekilde sunucunuzu daha az yormuş olursunuz.
Kaynak : R10 Bartuc
Hiç yorum yok:
Yorum Gönder