Php Güvenlik – 1

php güvenlikPhp ile kod yazarken dikkat etmeniz gereken güvenlik önlemleri ile ilgili aldığım notları birkaç bölüm halinde aktarmaya çalışacağım.

Sistemde herhangi bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik açığıdır. Bütün hata mesajları log dosyalarına yazılmalıdır.Hata mesajlarının güvenlikle ilgili ciddi açıklara neden olabilecek bilgiler yer alabilir. Aşağıdaki kodları kullanarak hataların loglara yazılması sağlanabilir. Ayrıca kritik bilgiler içerebilecek olan hata mesajlarının kullanıcılara gösterilmesinin önüne geçmiş olursunuz.

ini_set('error_reporting', E_ALL | E_STRICT);
ini_set('display_errors', 'Off');
ini_set('log_errors', 'On');
ini_set('error_log', '/usr/local/apache/logs/error_log');

Hata durumlarında çalıştırılmak üzere özel fonksiyonlarımızı yazabiliriz. Bu fonksiyonların hata esnasında çalışması için şu şekilde bir kod yazılabilir.

set_error_handler('my_error_handler');

Aşağıda hata durumunda çalıştırılabilecek örnek bir fonksiyon örneği bulunmaktadır.

function my_error_handler($number, $string, $file, $line, $context) {
   $error = "= == == == ==\nPHP ERROR\n= == == == ==\n";
   $error .= "Number: [$number]\n";
   $error .= "String: [$string]\n";
   $error .= "File: [$file]\n";
   $error .= "Line: [$line]\n";
   $error .= "Context:\n" . print_r($context, TRUE) . "\n\n";
   error_log($error, 3, '/usr/local/apache/logs/error_log');
}

Aşağıdaki gibi bir kullanım ile sadece Uyarılar için fonksiyonumuzun çalışmasını sağlamış oluruz

set_error_handler('my_warning_handler', E_WARNING);

Kullanıcı çok önemli bir işlem gerçekleştirmek istediğinde, sisteme zaten giriş yapmış olsa bile şifre istenebilir. Bunun örneklerini Facebook ve Twitter’in de uyguladığını görmekteyiz.

Get ve Post ile gelen verilerin atamasının yapılmadığı taktirde değişkenlere boşluk ataması yapmak gerekir . Bunu iki farklı şekilde yapabilirsiniz.

$search = (isset($_GET['search']) ? $_GET['search'] : '');

veya

$search = '';
if (isset($_GET['search'])) {
    $search = $_GET['search'];
}

Kredi kartı bilgisi gibi hassas veriler SSL ile aktarılmalıdır.

Kullanıcıya kredi kartı bilgilerini göstereceğiniz zaman sadece son 4 hanenin gösterilmesi gibi yaklaşımlar benimsenebilir.

Session değişkeni çok hassas bilgiler içerebileceğinden sunucu tarafında tutulmalıdır.

Kullanıcı tarafından gönderilen verilerin düzeltilmeye çalışılmasının güvenlik açıklarına neden olabileceğini dikkate almak gerekiyor.

$clean şeklinde bir değişken belirleyip güvenli olduğunu doğruladığımız değişkenleri bu array içerisine atabiliriz. Daha sonra kodun istenilen yerinde $clean dizisi içerisindeki değişkenleri güvenle kullanabiliriz.

Kullanıcıya gösterilecek verilerin htmlentities( ) fonksiyonundan geçirilmesi gerekir. Bu fonksiyona ek parametrelerler vermemiz gerekir. Bunlar ENT_QUOTES ve UTF-8 parametreleridir. $html isimli arrayimizde de filtrelenmiş ve escape edilmiş verileri tutarız.

$html = array( );
$html['username'] = htmlentities($clean['username'],ENT_QUOTES, 'UTF-8');
echo "<p>Welcome back, {$html['username']}.</p>";

Veritabanı olarak mysql kullanıyorsanız query içerisinde kullanılacak verileri mysql_real_escape_string( ) fonsiyonundan geçirmeniz önemlidir.

Eğer MySql kullanmıyorsanız son çare olarak addslashes( ) kullanmalısınız.

$mysql = array( );
$mysql['username'] =mysql_real_escape_string($clean['username']);
$sql = "SELECT * FROM profile WHERE username = '{$mysql['username']}'";
$result = mysql_query($sql);

KAYNAK: Essential PHP Security O’Rielly

6 Comments

    Php Guvenlik – 1 « Lé Blog

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 Share :FacebookTwitterStumbleUponLinkedInLike this:LikeBe the first to like […]

    Php Guvenlik – 1 « Gökhan Tunçkale | Blog

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 ShareFacebookTwitterStumbleUponMoreTumblrRedditLinkedInDiggEmailPrintBunu beğen:BeğenBunu […]

    Php Guvenlik – 1 « Musa Usta'nın Yeri

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 Share this:TwitterFacebookBunu beğen:BeğenBunu beğenen ilk kişi olun.   Yorum […]

    Php Guvenlik – 1 « kodluyorum

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 Share this:TwitterFacebookBunu beğen:BeğenBunu beğenen ilk kişi […]

    Php Guvenlik – 1 « Anil's Blog

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 Bunu beğen:BeğenBunu beğenen ilk kişi […]

    Php Guvenlik – 1 | Kara Kule

    […] bir hata mesajının kullanıcılara gösterilmesi ciddi bir güvenlik a… Devamı için : Php Guvenlik – 1 Share this:TwitterFacebookBunu beğen:BeğenBunu beğenen ilk kişi olun. By ahmet orsorlu […]

Bir Cevap Yazın