Ufak bir hatirlatma daha.
mysql_real_escape_string in işe yaraması için öncesinde magic_quotes
kontrol edilmeli.
function filter($string){
return get_magic_quotes_gpc() ? stripslashes($string) : $string;
}
$username = mysql_real_escape_string(filter($username));
$password = mysql_real_escape_string(filter($password));
username kismina : deneme veya gerçek bir kullanıcı yazın.
şifreye = zz\' OR 1=1\' veya zz' OR 1=1' yazarak test edebilirsiniz.
Ek olarak mutlaka mysql in ayarlarından(my.ini) loglamayaı açıp
çalışan sorguları izleyin. Daha güzel olucaktır.
log açmak için my.ini ye aşağıdaki satırı ekleyin.
log="C:/tmp/mysql.log"
Yukardaki örnek en basit hali daha karmaşık durumlar için araştırmanız
gerekiyor. Ama real escape olayında bahsettiğim olay çok önemli çoğu
insan bunu atlıyor.
Volkan Altan
http://volkanaltan.com/
İyi Çalışmalar.
2010/5/24 Canberk BOLAT <[email protected]>:
> $q = mysql_query("INSERT INTO blabla ...");
>
> if (mysql_affected_rows() > 0) {
> echo "ok! it's insert into blabla..";
> }
>
>
> gibi bir kullanımı olabilir. birde sql injection'a karşı
> mysql_real_escape_string, htmlspecialchars, intval, strip_tags gibi
> fonksiyonları ihtiyacına göre kullanabilirsin.
> 24 Mayıs 2010 09:04 tarihinde Alper Ozmalkoc <[email protected]> yazdı:
>> Selam;
>> ornek verebilir misiniz? Tesekkurler.
>>
>> --
>> Alper
>>
>> 2010/5/21 Omer Barlas <[email protected]>
>>>
>>> Volkan @ 21-05-2010 16:35:
>>> > Bence query i bir değişkene atayıp onu ekrana bastırın. Sonra sql i
>>> > mysql client ile çalıştırın. O zaman anlaşılır.
>>>
>>> ben olsam array_keys ve array_vals'i kullanarak otomatiğe bağlardım, hem
>>> re-usable bir kodunuz olur.
>>> --
>>> Omer Barlas
>>
>> _______________________________________________
>> Linux-programlama mailing list
>> [email protected]
>> https://liste.linux.org.tr/mailman/listinfo/linux-programlama
>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>
>>
>
>
>
> --
> Canberk BOLAT
> http://hc0de.blogspot.com
> http://twitter.com/hc0de
> _______________________________________________
> Linux-programlama mailing list
> [email protected]
> https://liste.linux.org.tr/mailman/listinfo/linux-programlama
> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>
_______________________________________________
Linux-programlama mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-programlama
Liste kurallari: http://liste.linux.org.tr/kurallar.php
