Arkadaşlar alttaki uygulamaları yaparak or, &&,||,and uygulamalarını iyi anlarsınız.

üstteki kodda && yerine || ve or olsaydı vize ve finalden herhangi birinden yüksek almak öğrencinin geçmesine yetiyor. ama && ve and kullanıldığı zaman vize ve finalin 50 ve üstü olması gerekiyordu.

yani;

|| ve or olduğunda : ikisinden biri yüksek not alacak.
&& ve and olduğunda ikisi 50′ye eşit ya da 50′den yüksek olacak.

Bir uygulama örneği daha vereyim size, üsttekini anlarsan iyi kavramana yardımcı olur hocam;

Mantıksal karşılaştırma işlemleri daha da karmaşık olabilir. Örneğin, öğrencinin geçmiş sayılması için yılsonu vize ve final notlarının 45′dan yüksek, ve ya birinci sömester notunun ya da vize ve final notlarının ortalamasının 65′den yüksek olması şartı aranabilir. (Kabul; kötü bir örnek oldu. Ama sırf alıştırma için!) Bu durumda kodu şöyle yazmamız gerekirdi:

Hakkı öcal’dan alıntıdır.

Bütün Girileri Filtreleyin:
Script’leriniz harici bir kaynaktan girdi okuduğunda, bu verinin tehlikeli olduğu varsayılmalı ve güvenilmemelidir. Güvenilmemesi gereken değişkenlerden bazıları: $_POST, $_GET, $_REQUEST ve hatta pek mümkün görünmese de önemli veriler içerebilecek olan $_SERVER .

Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir. Onaylama işlemi ile sadece sizin istediğiniz verileri içerdiğinden emin olabilirsiniz. Örneğin bir eposta adresi bilgisi bekliyorsanız, onay fonksiyon’unuz girilen verinin doğru bir eposta adresi olup olmadığını kontrol etmeli.

Hemen basit bir örnekle açıklayalım. Aşağıdaki kodda ilk olarak $_POST değişkeninden e-posta adresini alıyorum ve sonra veriyi onaylama işlemine sokuyorum:

PHP- Kodu:

<?php
$eposta = $_POST['eposta']; # Burada veri hala TEHLİKELİ durumda

// Validate e-mail

if (valid_eposta($eposta) == false) {

// Geçerli bir adres değil

die(‘Geçerli bir eposta adresi değil!’);
}
?>

Veriyi kontrol ederek script’imize tehlikeli verilerin eklenmesi riski büyük ölçüde azaltılmış oldu. valid_eposta() fonksiyon’u PHPit Code Snippet veritabanında da bulunabilecek olan standart bir onay işlemidir.

Verimiz daha güvenli olsa da işimiz daha bitmedi çünkü hala veriyi MySQL veritabanına yerleştirmek istiyoruz ve bu işlemden önce de bazı kontroller yapmamız gerekiyor. PHP tüm önemli karakterlerin escape edildiği mysql_real_escape_string() standart fonksiyon’unu sunar. Diğer bir yöntem ise SQL sorgusunda veriyi her zaman kesme imleri arasına yerleştirin.

Önceki örneğimize devam edelim:

PHP- Kodu:

<?php
$eposta = $_POST['eposta']; # Burada veri hala TEHLİKELİ durumda

// Validate e-mail

if (valid_eposta($eposta) == false) {

// Geçerli bir adres değil

die(‘Geçerli bir eposta adresi değil!’);
}

// eposta’nın veritabanı için güvenli hale getirilmesi

$eposta = mysql_real_escape_string($eposta);

// Artık güvenli!

?>

Artık elimizdeki eposta verisi veritabanına güvenli bir şekilde işlenebilir. Hatalardan kaçınmak için tehlikeli değişkenlere bir ön ek verilebilir, örneğin:

PHP- Kodu:

<?php
$t_eposta = $_POST['eposta']; # Tehlikeli

// Onay işlemi

$g_eposta = mysql_real_escape_string($d_eposta);
?>

Bu şekilde tehlikeli bir veriyi işleme sokarken ön tarafındaki t_ eklentisi ile hemen farkına varabilirsiniz.

Çıktıların filtrelenmesi
Girdilerde olduğu gibi dışarıya sunulan tüm verilerin de (güvenli olarak filtreleyip veritabanına işlediğiniz verilerin dahi) filtrelenmesi gerekmektedir.

Filtrelenmesi gereken en önemli şey probleme yol açabilecek olan HTML tag’leridir. Bunu yapmanın en kolay yolu bütün HTML’i escape işlemine sokan htmlentities() fonksiyon’udur:

PHP- Kodu:

<?php
echo htmlentities($_GET['eposta']);
?>

Bu kod (saldırganın sayfalarınıza JavaScript kodları eklemesine ve diğer kullanıcıların cookie’lerini çalmasını sağlayan) muhtemel XSS (çapraz site betik çalıştırma – cross site scripting) saldırılarını kaldırır. Eğer mümkünse, htmlentities fonksiyon’unun üçüncü argümanı’nı (encoding/charset tipi) da kullanmalısınız. Google’da HTML’i escape işleminde düzgün encoding ayarı yapmadığı için XSS saldırısından etkileniyordu. Google bu açığı 1 aralık’ta kapattı. Basitçe, her zaman encoding tipini belirlemelisiniz:

PHP- Kodu:

<?php
echo htmlentities($_GET['eposta'], ENT_QUOTES, ‘UTF-8′);
?>

Eğer bütün HTML tag’lerini filtrelemek istemiyorsanız, bazı tag’lere izin vermek istiyorsanız strip_tags() fonksiyon’unu kullanabilirsiniz. Fakat bu, <script> tag’lerini filtreleseniz dahi Javascript ekleme açıklarına karşı bir güvenlik problemi içerebilir. ör ( <div onclick=”alert(‘Hi!’);”> .

Diğer bir yöntem de sadece sizin istediklerinizi filtrelemenize yarayacak kendi fonksiyon’unuzu yazmanız (veya internet’teki yüzlerce hazır fonksiyon’dan birini kullanmanız). Bu bazen en iyi yöntem olabilir fakat herhangi bir şeyi unutmanız durumunda güvenlik problemlerine yol açabilir.

Son olarak, çıktıyı filtrelemenin en iyi yolu, üç argümanı ile birlikte htmlentities() fonksiyonunun kullanımı fakat bununda işlevi sınırlı (ör: formatlama olmaması) kalabilir. Buna çözüm olarak verileri format’lamanızda kullanılabilecek olan kendi HTML kodunuzu yaratabilirsiniz. Kendi HTML kodunuzu yaratma ile ilgili olarak Create your own BBCode, using PHP dokümanına göz atabilirsiniz.

Sonuç :
Bu makalede PHP programlamının iki temel ilkesi olan girdi filtreleme ve çıktı filtreleme’den bahsettim. Eğer bu ikisini doğru olarak yapabilirseniz çok güvenli bir PHP script’ine doğru yola çıkmışsınız demektir.

Verdiğim örnekler çok basit ve hantal. Escape işlemini otomatikleştirmeniz iyi olabilir. Bunun için iyi bir yöntem gerekli işlemleri yapan bir class veya fonksiyon’lar yazmanız.
PHP güvenliği ile ilgili daha fazla bilgiye ihtiyaç duyuyorsanız aşağıdaki sitelerine göz atabilirsiniz:

- PHP Security Consortium – Çok sayıda bilgi içeren mükemmel bir güvenlik rehberi. Mutlaka okunmalı.
- Essential PHP Security – Chris Shiflett’in Essential PHP Security kitabından bilgiler. Kitabın bir kaç bölümü ücretsiz
- Hardened PHP – Güvenlik bültenlerine yer veriliyor
——-
PHP Güvenliği Kaynak: PHP Security – Basic PHP Security

Kaynak: bilgisayarhocasi.com

Örnek 1 Simple mysql_real_escape_string() example

Örnek 2 An example SQL Injection Attack

samanlık dizgesinde bulunan ilk iğne dizgesinden başlayan parçayı döndürür.

Bilginize: İşlev harf büyüklüğüne duyarlıdır. Harf büyüklüğüne duyarsız arama yapmak için stristr() işlevini kullanınız.

Bilginize: İstediğiniz sadece samanlık içinde iğne var mı diye bakmaksa daha hızlı ve daha az bellek harcayan strpos() işlevini kullanın.

http://www.seostrateji.com/dosya/sagsol.txt

SOL KAYAN ve SAĞ KAYAN reklam kodlarını ayrı ayrı belirttim.

Ref Nedir
Gerek googlewebmaster`da gerekse google aramalarinda sitenizin linkleri su sekilde gözüküyorsa “siteadiniz.com/?ref=baskabirsiteadi.com”
bir problem var demektir bu linkde ?ref=baskabirsiteadi.com yazan yerdeki site sizin siteniz üzerinde bir kene gibi besleniyor kendisine sizin sayfalariniz üzerinden back lnik sagliyor sitenizi kullaniyor demektir bu islemi genelde hicbiryerden link alamayan adult ve porno tarzi siteler yapar

robots.txt dosyaniza
User-agent: *
Disallow: /*?ref=

.htaccess ilede çözüm aranabilir. htaccess dosyasina alltaki kod eklenmelidir.

RewriteEngine on
# no spam
RewriteCond %{THE_REQUEST} \?(ref=.*)?\ HTTP [NC]
RewriteRule .? http://www.siteadı.com%{REQUEST_URI}? [R=301,L]

PHP den;

<?php if(strpos($_SERVER['REQUEST_URI'], ‘?ref=’)){
header(“Location: index.php”);
die();
}
?>

codekodu.com sitesinden alıntıdır.

Genel olarak ADO sınıfını ve içindekileri inceleyeceğiz. Şöyle de söyleyebiliriz ki yazımız sadece veritabanına bağlanıp, veri almak, yazmak, silmek ile ilgili olmayacaktır. Bu nedenle ASP ve Veritabanı işlemlerine önceden bir giriş yapmış olmanız gerekmektedir.

Öncelikle yazımızda geçicek terimlerimizle başlayalım;

- ADO nedir?
ADO (ActiveX Data Object), Microsoft´un tüm Windows tabanlı programlama dillerinde programcıların veritabanı işlemlerini kolay, hızlı ve güvenli bir şekilde yapması için oluşturduğu bir arayüzdür.

- DAO nedir?
DAO (Data Access Object), ise yine Microsft´un çıkarttığı bir veritabanı teknolojisidir. ADO´dan önce çıkmış ve uzun süre kullanılmıştır. Ancak temel olarak JET teknolojisini kullanır.

- DAO ile ADO arasındaki fark nedir?
ADO, sonradan yapılmış (yeni model) bir teknoloji olduğundan dolayı zaten bir adım öndedir. Ancak ADO yapı olarak ODBC´ye benzemektedir. Jet-tabanlı bir yapıda olmaması onun neredeyse tüm veritabanları ile uyumlu çalışmasını sağlar. Ancak DAO bu konuda sınırlı kalmıştır. (Access, FoxPro vs.) Ayrıca ADO, OOP konusunda da DAO´dan ileridedir.

- ActiveX nedir?
Yine Microsoft´un oluşturduğu ve nesnelerin programlama dillerinden bağımsız olarak çalışabilmesini sağlayan bir teknolojidir. Yani C++ ile yazılan bir DLL´in ASP´den kullanılabilmesi gibi bir örnek verilebilir buna.

- ADO´yu nasıl yükleyebilirim?
ADO zaten IIS ile birlikte yüklenmektedir. Hatta yeni işletim sistemlerinde direk kendisi yüklü gelmektedir. Ancak ADO´yu güncellemek isterseniz http://download.microsoft.com adresinden MDAC´ın son versiyonunu yükleyebilirsiniz. Bu yazı dizisi MDAC 2.8 baz alınarak hazırlanmıştır.

Kısaca işleyeceğmiz konulara değinirsek; kullanım sıramıza göre bir öncelik belirleyeceğiz. Yani öncelikle “Connection” nesnesini işleyecek; ardından “Recordset” nesnesine geçeceğiz. “Field” nesnesi ile devam edip; “Command” ve “Parameter” nesnelerine geçeceğiz son olarak ise “Stream” nesnesini işleyecek ve nesne tanıtımımızı bitireceğiz. Ancak  yazı dizimize “ADO ve Hatalar” yazısı ile devam edicek ve “Error” nesnesini işleyeceğiz.

Bu yazının devamı niteliğindeki “ADO Connection” yazısına aşağıdaki linke tıklayarak erişebilirsiniz;
http://www.findikkurdu.com/Article.aspx?ID=50
Kaynak:
http://www.findikkurdu.com/Article.aspx?ID=49