Kullanıcının Girdiği HTML Verisini Güvenli Hale Getirmek

Yazan: türker | Tarih 30 Aralık 2007 | Yorum  1 Yorum
BerbatKötüOrtaGüzelHarika 1 kez puan verildi, Ortalama: 5 (5 üzerinden)
Loading ... Loading ...

Zamanında bir sitedeki güvenlik sorununu gidermek için aceminin yazdığı bu kodun yazılmasındaki amaç şu:

* Kullanıcıdan HTML olarak alınan ve değiştirilmeden saklanan bir veri var.
* Bu veri daha sonra site ziyaretcilerine gösteriliyor.
* Bu verileri giren kullanıcılar güvenilir değil. Veri içine, diğer ziyaretcilere gösterildiği anda zarar verecek, bilgi çalacak vb. kodlar ekleyebilirler.
* Veriyi gostermeden önce bir fonksiyonu yardımı ile içindeki tehlikeli bölümlerin ayıklanması hedefleniyor. Örneğin içinde hiçbir script kodu kalmamalı… Ama sorunlu olmadigi sürece HTML formatı mümkün olduğunca korunmalı.

Bu güvenlik sorununa çözüm olarak iki yol izlenebilir:
*Öncelikle herşeye izin verip sonra içlerinden zararlı olanları ve standartlara uymayanları ayıklamak
*Öncelikle herşeyi yasaklayıp sonra içlerinden zararsız olanlara ve standartlara uyanlara izin vermek

Bu kod ikinci yolu izliyor çünkü:
…zararlı olanların çeşitleri çok daha fazla ve her geçen gün yenileri çıkıyor. Ama standartlar her gün değişmiyor.

-body etiketi içinde olabilecek tüm standart etiketler destekleniyor.
-head kımında kullanılan style, meta, script gibi etiketler içerikleriyle beraber siliniyor.
- Bu fonsksiyonu veriyi her gösterdiğinizde kullanmak yerine, veriyi veritabanına kayderderken kullanmak performans açısından çok daha iyi olacaktır.

Güvenli HTML foknsiyonunu indirmek için tıklayın

Yazdır Yazdır | 572 Görüntülenme | Kategori: PHP | Trackback  Geri İzleme
Etiketler  Etiketler: , , , ,

Benzer Yazılar


Yorum Yap


(gerekli)

(gerekli,yayınlanmaz)




XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>