Selamun Aleyküm Dostlar.

Bir çoğunuz baktığınız XSS ve SQL injection Exploit raporlarında görmüşsünüzdür ;


"Bug Fix Advice ; Zararlı karakterler filtrelenmelidir." diye bir yazı.

Hala bilmeyenlerin olduğunu görüyoruz ki bu da XSS ve SQL inj. Saldırılarının çoğalmasına yol açmakta.

"Peki Nedir bu zararlı karakter filtreleme?" 

Zararlı karakter filtreleme şudur arkadaşlar, XSS ve SQL inj. Saldırılarında bildiğiniz üzere " >,<,+,-,*,’, " gibi karakterler kullanılarak siteye zarar verilmeye çalışılır.Zararlı karakterimiz bunlar ve bunlar gibi saldırılarda kullanılanlardır.
Filtreleme işlemi sonucu Attacker’lar sisteme karakterleri tanıtıp işlem yaptırmazlar.

PHP’de bu işlemi htmlspecialchars fonksiyonunu kullanarak yapabiliriz.

Hemen bir örnek kullanim kodu gösterelim ;

*~ Örnek Kullanım ;

 $charset=’UTF-8’;

$data = htmlentities ($_POST[’form’],
ENT_NOQUOTES,
$charset ) ;
if(isset($data)){echo ""<" .$data. ""<";}  

Bu kod bütünü ; Olağan tüm kodları engelleyecek, Saldırıya izin vermeyecektir.

ASP’de ise Replace fonksiyonu ile yapabiliriz.

Yine aynı şekilde hemen bir örnek kullanım kodu gösterelim;

*~Örnek Kullanım ;

replace(filtrelenecekkelimeler,"filtrelenecekolanbolumler(örnek:<,>,/"),"")

Evet arkadaşlar.XSS ve SQL güvenliğinin sadece bir bölümünü böyle karşılayabilirsiniz.

Dokümanı Yazan  ; Özkan BOZKURT