Cyber-Warrior.Org \ Doküman \ Security > Zararlı Karakter Filtrelemek

Selamun Aleyküm Dostlar.

Bir çogunuz baktiginiz XSS ve SQL injection Exploit raporlarinda görmüssünüzdür ;

"Bug Fix Advice ; Zararli karakterler filtrelenmelidir." diye bir yazi.

Hala bilmeyenlerin oldugunu görüyoruz ki bu da XSS ve SQL inj. Saldirilarinin çogalmasina yol açmakta.

"Peki Nedir bu zararli karakter filtreleme?"

Zararli karakter filtreleme sudur arkadaslar, XSS ve SQL inj. Saldirilarinda bildiginiz üzere " >,<,+,-,*,’, " gibi karakterler kullanilarak siteye zarar verilmeye çalisilir.Zararli karakterimiz bunlar ve bunlar gibi saldirilarda kullanilanlardir.
Filtreleme islemi sonucu Attacker’lar sisteme karakterleri tanitip islem yaptirmazlar.

PHP’de bu islemi htmlspecialchars fonksiyonunu kullanarak yapabiliriz.

Hemen bir örnek kullanim kodu gösterelim ;

*~ Örnek Kullanim ;

$charset=’UTF-8’;

$data = htmlentities ($_POST[’form’],
ENT_NOQUOTES,
$charset ) ;
if(isset($data)){echo ""<html><" .$data. ""<html><";}

Bu kod bütünü ; Olagan tüm kodlari engelleyecek, Saldiriya izin vermeyecektir.

ASP’de ise Replace fonksiyonu ile yapabiliriz.

Yine ayni sekilde hemen bir örnek kullanim kodu gösterelim;

*~Örnek Kullanim ;

replace(filtrelenecekkelimeler,"filtrelenecekolanbolumler(örnek:<,>,/"),"")

Evet arkadaslar.XSS ve SQL güvenliginin sadece bir bölümünü böyle karsilayabilirsiniz.

Dokümani Yazan ; Özkan BOZKURT ~ for Cyber Security//Lojistik

Selametle.