Webmaster Araçları

Arkadaşlar bir sitede PHP de alınması gereken güvenlik önlemleri ile ilgili bir makale okudum ve burada sizlerle paylaşmak istedim.
————–

Basit PHP Güvenliği:
PHP script’lerinizin güvenli olduğundan emin olmanız için ilk olarak temel kuralları yerine getirmeniz gerekiyor: kullanıcı girdilerinin (input) filtrelenmesi ve çıktıların (output) kontrolü. Eğer bu ikisini doğru olarak yapmıyorsanız script’leriniz her zaman güvenlik problemleri ile karşı karşıya olacaktır. Bu makale’de bu iki işlem ile ilgili yapılması gerekenler anlatılıyor.

Bütün Girileri Filtreleyin:
Script’leriniz harici bir kaynaktan girdi okuduğunda, bu verinin tehlikeli olduğu varsayılmalı ve güvenilmemelidir. Güvenilmemesi gereken değişkenlerden bazıları: $_POST, $_GET, $_REQUEST ve hatta pek mümkün görünmese de önemli veriler içerebilecek olan $_SERVER .

Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir. Onaylama işlemi ile sadece sizin istediğiniz verileri içerdiğinden emin olabilirsiniz. Örneğin bir eposta adresi bilgisi bekliyorsanız, onay fonksiyon’unuz girilen verinin doğru bir eposta adresi olup olmadığını kontrol etmeli.

Hemen basit bir örnekle açıklayalım. Aşağıdaki kodda ilk olarak $_POST değişkeninden e-posta adresini alıyorum ve sonra veriyi onaylama işlemine sokuyorum:

Eğer bütün HTML tag’lerini filtrelemek istemiyorsanız, bazı tag’lere izin vermek istiyorsanız strip_tags() fonksiyon’unu kullanabilirsiniz. Fakat bu, <script> tag’lerini filtreleseniz dahi Javascript ekleme açıklarına karşı bir güvenlik problemi içerebilir. ör ( <div onclick=”alert(’Hi!’);”> .

Diğer bir yöntem de sadece sizin istediklerinizi filtrelemenize yarayacak kendi fonksiyon’unuzu yazmanız (veya internet’teki yüzlerce hazır fonksiyon’dan birini kullanmanız). Bu bazen en iyi yöntem olabilir fakat herhangi bir şeyi unutmanız durumunda güvenlik problemlerine yol açabilir.

Son olarak, çıktıyı filtrelemenin en iyi yolu, üç argümanı ile birlikte htmlentities() fonksiyonunun kullanımı fakat bununda işlevi sınırlı (ör: formatlama olmaması) kalabilir. Buna çözüm olarak verileri format’lamanızda kullanılabilecek olan kendi HTML kodunuzu yaratabilirsiniz. Kendi HTML kodunuzu yaratma ile ilgili olarak Create your own BBCode, using PHP dokümanına göz atabilirsiniz.

Sonuç :
Bu makalede PHP programlamının iki temel ilkesi olan girdi filtreleme ve çıktı filtreleme’den bahsettim. Eğer bu ikisini doğru olarak yapabilirseniz çok güvenli bir PHP script’ine doğru yola çıkmışsınız demektir.

Verdiğim örnekler çok basit ve hantal. Escape işlemini otomatikleştirmeniz iyi olabilir. Bunun için iyi bir yöntem gerekli işlemleri yapan bir class veya fonksiyon’lar yazmanız.

PHP güvenliği ile ilgili daha fazla bilgiye ihtiyaç duyuyorsanız aşağıdaki sitelerine göz atabilirsiniz:

- PHP Security Consortium - Çok sayıda bilgi içeren mükemmel bir güvenlik rehberi. Mutlaka okunmalı.
- Essential PHP Security - Chris Shiflett’in Essential PHP Security kitabından bilgiler. Kitabın bir kaç bölümü ücretsiz
- Hardened PHP - Güvenlik bültenlerine yer veriliyor
——-

Php kullanarak sitemap güncellemek ( To update the sitemap using php )

Amaç: PHP ile sitemap.xml dosyasımızın içini otomatik olarak güncelleme.
Yöntem: .htaccess dosyamızda xml uzantılarında php taglarının çalışmasınıayarlayacağız. Daha sonra xml dosyasının içine php kodlarımızıyazacağız.

Bu kodu .htaccess dosyamızın içine ekleyelim
Kod:

AddType application/x-httpd-php .php .xml

Bu da sitemap.xml dosyamızın içeriği olsun
Kod:
——–PHP KOD BAŞLANDICI———-
<?
$host = “localhost”; // Veritabanı Sunucusu
$mysqladi = “root”; // Veritabanı Yetkili Adı
$mysqlsifre =”"; // Veritabanı Yetkili Şifresi
$db = “phpxml”; // Veritabanı Adı
mysql_connect ($host, $mysqladi, $mysqlsifre) or die (”VT Bağlantısı Yok”);
mysql_select_db ($db) or die (”Veritabanına Bağlanılamadı”);
header(’Content-type: text/xml;charset=UTF-8′);
$xml = “<?xml version=\”1.0\” encoding=\”UTF-8\”?>”.”\n”.”<urlset xmlns=\”http://www.sitemaps.org/schemas/sitemap/0.9\”>”.”\n”;
$urunsayfasi=”http://www.domain.com/urunler.php?id=”;
$sorgu=mysql_query(”Select id from urunler”);
while($xmlsorgu=mysql_fetch_array($sorgu)){
$xml .=    “\t”.”<url>”.”\n\t\t”.”<loc>”.$urunsayfasi.$xmlsorgu["id"].”</loc>”.”\n\t”.”</url>”;
}
$xml.=”</urlset>”;
echo $xml;
?>
——PHP KOD BİTİŞİ——-

Not: Bu XML site haritasında veritabanı bilgilerini değiştirmelisiniz. Ayrıca veritabanından çektiğiniz bilgileri kendinize göre düzenleyin. İsterseniz öncelik ve değişim değerlerini ekleyebilirsiniz.

Bu scriptle Html veya text içerikli dosyaların kodlarında değişiklik yapabilirsiniz.index.php ve dizinoku.php dosyalarının oldugu dizine bir klasör olusturarak html dosyalarınızı bu klasöre atınız.Sınırsız dosya değiştirebilirsiniz. Script hostunuzda çalıtırılabilir.
örnek olarak <title>Armut Sitesi</title> titlesini aynı klasördeki veya farklı klasörlerdeki html dosyaları içinden değiştirerek <title>Elma Sitesi</title>  yapabilirsiniz. İndirmek için tıklayın.

Linux hosting sahibi olmayan arkadaşların çoğu için seo (arama motorları için optimizasyon) olayı bir problemdir.Bu sorunu windows sunucuda halletmenin tek yolunun hata sayfalarını kullanarak (404) oldugu söylenir.
Size anlatacağım yöntemin basitliği ve kullanımının htaccess ‘e çok yakın olması işinize çok yarayacak.İlk önce buradan gerekli olan dosyayı indirin. İndirdiğiniz bu dosyanın içinde bir dll ve bir ini dosyası var.

Yapacağımız işlem şu ;
ilk önce masaüstünden bilgisayarıma sağ tıklayıp yönet diyoruz. Servislerden iis yi buluyoruz.Burada sıralı veb sitelerimizin hangisinde seo yapacaksak ona sağ tıklayıp özellikler diyoruz. İsapi Filters tabına gelip ekle (Add) diyoruz. Gözat kısmından IsapiRewrite4.dll yi seçip isim kısmına Ionic Rewriter yazıp tamam diyoruz. Şimdi sitemiz htaccess gibi bir ini dosyası kullanmamız için hazır.

Dikkat edilmesi gerekenler ;
IsapiRewrite4.dll ve IsapiRewrite4.ini aynı klasörde olmalı.
Dll ismi neyse ini ismide onunla aynı olmalı.
htaccess dosyamızı direk kullnamayız ,
Yönlendirme öncesinde / koymayı unutmuyoruz.
RewriteRule ^/tr/([^/]+)/([^/]+).html$ /sayfa.php?id=$1&sayfa=$2 [L] burada gördüğümüz gibi sayfa.php den önce / kullandık.
htaccess dosyamızın içeriğini kopyalayıp ini doyamıza yapıştırdık / işaretlerini koyduk ve sitemiz hazır güle güle kullanın.
Not:Bu dll ücretsizdir ve hiç bir lisans problemi yoktur.

Mysqlden veri çekerken iç içe kullanacağımız whilelerde array yerine mysql_fetch_assoc kullanıyoruz.

Örnek php

Aşağıdaki yöntemi kullanarak postla veya getle çektiğiniz verilerin html kodlarını ortadan kaldırabilirsiniz.
<?
$_POST = array_map(”htmlspecialchars”,$_POST);
$_GET = array_map(”htmlspecialchars”,$_GET);
?>

<?
$metin = “elma-armut-kebap”;
$bolme = explode(’-’,$metin);
$say=count($bolme);
$i=0;
while ($i<$say){
$degisken[i] = $bolme[$i].’<br>’;
echo $degisken[i].’<br>’;
}
<?
Kodumuz bu şekilde şimdi anlatalım;
metin değişkenimiz yazılardan olusan ve aynı karakterlerin yani - lerin tekrarlandığı bir string
explode ile her - karakterinden sonra gelen her elemanı alır ve dizinin bir elemanı yapıyoruz.Bu elemanları değişken olarak kaydettik ve echo ile yazdırdık.