PHP Yazılım Güvenliği - CSRF Zafiyeti - Token Mantığı

Pentester · 9 Nis 2021

Bu video da php uygulamalarımızda CSRF zafiyetini nasıl engelleyebileceğimizi örnek proje üzerinde inceledik. Laravel framework yapısında kullanılan csrf_token fonksiyonunu kendi php projemizde nasıl yazarız onu anlattım.

[ame]https://www.youtube.com/watch?v=19F1UvZkK5A[/ame]

SessizBozKurt · 9 Nis 2021

Pentester' Alıntı:
Bu video da php uygulamalarımızda CSRF zafiyetini nasıl engelleyebileceğimizi örnek proje üzerinde inceledik. Laravel framework yapısında kullanılan csrf_token fonksiyonunu kendi php projemizde nasıl yazarız onu anlattım.

https://www.youtube.com/watch?v=19F1UvZkK5A

ağzınıza Sağlık hocam

ѕeleɴια · 9 Nis 2021

Hocam konuyla alakasız ama SQL sorgusunu database e gönderirken query yerine prepare kullananlara da rastlıyorum. Hatta bazıları query olmaz prepare yapalım bunu diyorlar nedeni nedir acaba

C 0 D E R · 9 Nis 2021

ѕeleɴια;9353005' Alıntı:
Hocam konuyla alakasız ama SQL sorgusunu database e gönderirken query yerine prepare kullananlara da rastlıyorum. Hatta bazıları query olmaz prepare yapalım bunu diyorlar nedeni nedir acaba

Execute yapılacak ise kullanılıyor hocam. İnjection güvenliğine katkısı mevcut.

Pentester · 9 Nis 2021

ѕeleɴια;9353005' Alıntı:
Hocam konuyla alakasız ama SQL sorgusunu database e gönderirken query yerine prepare kullananlara da rastlıyorum. Hatta bazıları query olmaz prepare yapalım bunu diyorlar nedeni nedir acaba

prepare fonksiyonun yaptığı şey sorguyu hazırlanmış bir deyim olarak sunmak. Şöyle düşün haberler sayfan var bu haberler tablosundan veri select ediyor, her bir haberin ayrı ayrı içeriğini select ediyor. "select * from haberler WHERE id" deyimini hazırlıyor şart olarak belirtilen id her bir haberin detayında değişiyor. Ancak burada select deyimi hazırlanmış bir ifade olduğundan tekrar işlenmiyor bu da optimizasyon sağlıyor. Bu prepare olayı stored procedure yapısıdır. Eğer sen sadece haberler tablosundan veri çektiğin bir sayfan varsa herhangi bir parametre almıyorsa değişiklik yapmıyorsa yani sadece "select * from haberler" mevzusunu işleme almak istiyorsan query kullan gitsin ne gerek var prosedüre? Burada optimizasyon ve güvenlik kavramı ön plana çıktığından prepare metodu kullanılması tercih sebebi, ancak parametre almayacaksa pek bir aksiyonu yoksa gerek yok ama kullanılmasının zararı da yok.

ѕeleɴια · 9 Nis 2021

C 0 D E R' Alıntı:
Execute yapılacak ise kullanılıyor hocam. İnjection güvenliğine katkısı mevcut.

Pentester' Alıntı:
prepare fonksiyonun yaptığı şey sorguyu hazırlanmış bir deyim olarak sunmak. Şöyle düşün haberler sayfan var bu haberler tablosundan veri select ediyor, her bir haberin ayrı ayrı içeriğini select ediyor. "select * from haberler WHERE id" deyimini hazırlıyor şart olarak belirtilen id her bir haberin detayında değişiyor. Ancak burada select deyimi hazırlanmış bir ifade olduğundan tekrar işlenmiyor bu da optimizasyon sağlıyor. Bu prepare olayı stored procedure yapısıdır. Eğer sen sadece haberler tablosundan veri çektiğin bir sayfan varsa herhangi bir parametre almıyorsa değişiklik yapmıyorsa yani sadece "select * from haberler" mevzusunu işleme almak istiyorsan query kullan gitsin ne gerek var prosedüre? Burada optimizasyon ve güvenlik kavramı ön plana çıktığından prepare metodu kullanılması tercih sebebi, ancak parametre almayacaksa pek bir aksiyonu yoksa gerek yok ama kullanılmasının zararı da yok.

Anladım hocam teşekkür ederim, bende Php başladım döngüleri bitirdim devam ediyorum. Konularınız yararlı oluyor php ve Web güvenliği konusunda meraklı olanlar için, emeğinize sağlık

Ghost Killer · 9 Nis 2021

elinize sağlık .

PHP Yazılım Güvenliği - CSRF Zafiyeti - Token Mantığı

Pentester

Özel Üye

SessizBozKurt

Üye

ѕeleɴια

Kıdemli Üye

C 0 D E R

Katılımcı Üye

Pentester

Özel Üye

ѕeleɴια

Kıdemli Üye

Ghost Killer

Harici Saldırı Timleri Koordinatörü

Sosyal medya sayfalarımız