Açılımı Personal Home Page, olan PHP, ilk kez Rasmus Lerdorf tarafından, web sayfalarını ziyaret edenleri izlemek amacıyla bir dizi Perl Script (betik) kullanılarak geliştirilmişti. İnsanlar kısa zamanda bununla ilgilenmeye ve bu konuyla ilgili sorular sormaya başladıklarında, Rasmus kararını verdi ve bir script motoru oluşturdu. Ayrıca formlara da destek verdi ve böylece PHP/F1’i biçimlendirmiş oldu. Adını [...]

Çapraz Kod Çalıştırma (Cross-Site Scripting)
Web uygulamaları güvenliği konusunda en yaygın olarak kullanılan ve bilinen güvenlik terimi çapraz kod çalıştırmadır (Cross-Site Scripting) ve bu ününü hakedecek değerdedir. PHP ile yazılmış birçok açık kaynak kodlu projeleri zaman zaman XSS (Yazıda ’Çapraz Kod Çalıştırma’ yerine kısaca kullanılacaktır) açıklarından kaynaklanan saldırılar yüzünden sıkıntı yaşamıştır.
XSS’in temel özellikleri :
Bir kullanıcının sahip [...]

Form İşleme
Sahte (Yalancı) Form Kayıtları
Veri kontrolünün önemini anlamak için aşağıdaki aşağıdaki örneği inceleyelim. (adreslerin hepsi temsilidir). http://example.org/form.html:

Veri Kontrolü
Beyaz liste yönteminin daha doğru bir yaklaşım olduğu belirtilmişti. Her duruma uygun örnekler vermek zor olsa da temel olarak veri kontrolü hakkında fikir verecek basit örnekler aşağıdadır.
E-posta adresinin düzgün yazılıp yazılmadığının kontrolü:

Çağırma Yöntemi (The Include Method)
Bu yöntemde genel güvenlik kontrollerinden sorumlu bir betik vardır ve diğer bütün betiklerin başında bu betik çağrılır. Bu betiğe uygun bir örnek security.inc :

Veri Kontrolü
Veri kontrolü web uygulama güvenliğinin temel taşıdır ve programlama dilinden ve geliştirme ortamından bağımsızdır. Uygulamaya giren ve uygulamadan çıkan verilerin geçerliliğinin kontrolü anlamına gelir. İyi bir yazılım projesi tasarımı programıcıları aşağıdaki işlemleri yapmaya teşfik eder :
Kontrolsüz veri girişi olmamalıdır,
Geçersiz (kural dışı, hatalı, yasak) veri kontrolü geçmemelidir, ve
Bütün verilerin kaynkları mutlaka bilinmelidir.

DIŞARDAN ALINAN BÜTÜN VERİLERİ KONTROL EDİN.
Veri kontrolü web uygulama güvenliğinin temel taşıdır. Tanımlanan değişkenlerinize başlangıç değerleri verilir ve dışardan alınan bütün veriler kontrol edilirse güvenliğe giden yolda çok mesafe katetmiş olunur. Beyaz Liste Yöntemi (whitelist approach) karaliste yönteminden (blacklist approach) daha iyidir. Beyaz Liste Yöntemi dışardan gelen bütün verilere aksi ispatlanmadığı sürece zararlı veri muamelesi [...]

Genel Bakış

Güvenlik nedir?
Güvenlik bir ölçümdür, özellik değildir.
Ne yazıkki bazı yazılım projesinde geliştiriciler güvenliği sağlanması gerekenler listesine koyuyor. ’Güvenli mi?’ sorusu en az ’Sıcak mı?’ sorusu kadar görecelidir.
Güvenlik ihtiyacı proje maliyeti sınırlarıyla dengelenmelidir.

htaccess nedir?
htaccess dosyası (hypertext access file), klasör(ler) düzeyinde Apache‘nin ayarlanmasına izin veren, http sunucusu genel ayar dosyasını (httpd.conf) özelleştirebilen dosyadır. Dosya “.htaccess” olarak geçmektedir.
htaccess ne işe yarar?

Sitenizin kaynaklarını tüketen, sitenizden veri çeken linkler (hotlinking) engellenebilir,
Sitenizi ziyaret eden zararlı botlar engellenebilir,
Site üzerinde gizli klasörler oluşturulabilir,
Klasörlere erişim engellenebilir,

PHP de tehlikeli fonksiyonların kapatılması
Evet bu yazıda php nin sizin serverınıza zarar verebilecek fonksiyonlarının nasıl kapatılacğaını göstereceğim bu fonksiyonlar sayesinde kendi sitesine bir php-shell çeken birisi sistem hakkında bir çok bilgiye ulaşabilir sanki local bir shell deymiş gibi çalışabilir wget lynx links gibi binarylerin root a bağlanmadı ise bindshell ini çeker tmp var/tmp klasörleri [...]