Bu döküman iki ana bölümden olusur:

1-SQL Enjesiyon ve Korunma Yollari

2-HTPP  yi HTPPS ye yönlendirmek

SQL Enjeksiyon Giris?

     SQL Enjeksiyon hackerlerin veri çalma yada degistirmede kullandiklari en popüler web saldiridisi yöntemlerinden birisidir.Web yamada güvensiz yada hatali kodlamalardan yararlanarak "Giris formu" gibi kullanici girislerinin SQL sorgusunda kullanildigi sayfalarda SQL komutlari eklenmesi ile veritabanina yetkisiz erisim saglar.

     SQL Enjeksiyon bir web sayfasi üzerinden SQL Komutlarinin gönerilmesidir. Eger programci verileri iyi koruyamiyip veya filtreleyemeyip yanlis kodlama yaptiysa -bu ölümcül bir hatadir ve kapatma yollari vardir- saldirgan kullanici verilerini görebilir, düzenleyebilir veya silebilir.

    SQL Enjeksiyondan etkilenen sayfalar çogunlukla login sayfalari, formlar, armasayfalari gibi dinamik sayfalarda çogunlukla görülür.

    SQL  Enjeksiyon etkilelenen baslica diller PHP, ASP, JSP dir

Örnek Saldiri

login ve sifreden olusan basit bir HTML girs sayfasini inceleyelim

<form method="post" action=" http://deneme.com/login.asp">
 <input name="tfUName" type="text" id="tfUName">
 <input name="tfUPass" type="password" id="tfUPass">
 </form>

login.asp nin en basit çalisma sekli söyle olabilir:

SELECT id
 FROM logins
 WHERE username = ’$username’
 AND password = ’$password’

Eger $username ve $password degiskenleri kullanici girisinden direk olarak alinip SQL sorgusunda kullaniliyorsa çok kolay bir sekilde hack edilebilir demektir. Kullanici adi olarak "RORRE" verdigimizi ve sifre için de asagidakini yazdigimizi varsayalim:
 falan’ OR ’x’=’x

SELECT id
 FROM logins
 WHERE username = ’RORRE’
 AND password = ’falan’ OR ’x’=’x’

Web uygulamasinda kullanici girisleri dogru olarak filtrelenmedigi için, tek tirnak kullanimi WHERE sql komutunu iki-bilesenli bir sorguya dönüstürdü.

’x’=’x’ bölümü ilk bölüm ne olursa olsun sartin dogru olmasini garantiler.

Bu da saldirganin login form’unu geçerli bir kullanici / sifre kombinasyonu bilmesine gerek kalmadan asabilmesini saglar.

HTTP yi HTTPS ye yönlendirmek

        Bilgisayar, web saldiralari ve hesap hirsizlarina karsi bazi önlemler almalisinz..Bu önlemlerden birisi de HTTPS kullanmaktir.Özellikle Hackerlere karsi ve ortak bilgisayar veya kablosuz baglanti durumlarindan dogacak hesap açiklarina karsi HTTPS kullanmak çok faydalidir.

        HTPPS yi kullanmanin bir çok yöntemi vardir. En güvenlisi Dijital sertifika almaktir. Bunu kendi sunnucunuzun sevis sagliyicisiyla görüserek belirli bir ücret karsiliginda yapabilirsiniz.

       Ama .htaccess dosyasini kullanarakta bunu yapabilirsiniz. 1. yöntem kadar pek güvenli olmasada etkisi büyüktür.

1-Bir .htaccess dosyasi olusturun

2- içerigini söyle yapip kaydedin: