include ve require ile güvenlik

**atix** · 31/07/2005 00:22

Kod:

<?php

$host = 'example.org';
$username = 'myuser';
$password = 'mypass';

$db = mysql_connect($host, $username, $password);

?>

Örnek:
Yukarıdaki satırlar db.inc dosyası olarak veritabanı ile ilgili işlem yapılacağı zaman çağırılır. Bu yöntem veritabanı ile ilgili bilgilerin tek dosyada tutulduğu için kullanışlıdır.
Bu dosyanın dışarıdan direk URL ile ulaşılabilecek bir yerde olması tehlikelidir, çünkü bu durumda include veya require çağırılarak kolayca veritabanı bağlantısına ulaşılabilir.

Bu yazıyı www.birumut.net daki "php güvenlik kitabı " 'nda gördüm.
Böye birşey mümkün mü?

**Yns** · 31/07/2005 00:26

Doğru , uzantısını db.inc değilde db.inc.php yaparsan sorun kalmaz.Zira .inc yorumlanmadan "text" dosya gibi okunacağı için dışarıdan çağırılabilir.

**atix** · 31/07/2005 00:43

Aslında doğru çalışmaz.Çünki biz A server'ı üzerinden B server'ındaki php dosyasına include veya require ile çağrı yaptığımızda, B server'ındaki web sunucusu bize php'yi derleyipte gönderecek.(Ben böyle biliyorum.Yanlış mı?)

YNS:
Bende öyle düşündüm.Zaten server'dada uzantılarını php yaptım.

**Yns** · 31/07/2005 00:48

Evet , uzantı .PHP olduğunda yorumlanmış şekilde cevap verileceği için boş sayfa include edilmiş olacak.

**sunny_smiley** · 31/07/2005 13:41

ilgimi çekti, sayfaya baktım.

Yukarıda verilen sayfa, mesajından alıntı:

Bu tür ayar dosyalarının (.php uzantısı vererek yada AddType ile .inc PHP'ye gönderek) PHP tarafından işlenmesine izin vermek () doğru bir yol değildir. Bu tür kodların dışarıdan çağırılarak çalıştırılabilmesi her zaman tehlikelidir. Eğer bu dosyalarda sadece değişkenlere değer atanıyorsa yukarıda söylenenlerin tehlikesi daha azdır.

Ne dersiniz?

KoDLaYıCı · 31/07/2005 13:59

bana burdaki konu linktekiyle tıpa tıp aynı gibi geldi!

**sunny_smiley** · 31/07/2005 14:04

ben onun için verdim zaten

Yns, mesajından alıntı:

Evet , uzantı .PHP olduğunda yorumlanmış şekilde cevap verileceği için boş sayfa include edilmiş olacak.

Sayfada ise

Sayfa, mesajından alıntı:

Bu tür ayar dosyalarının (.php uzantısı vererek yada AddType ile .inc PHP'ye gönderek) PHP tarafından işlenmesine izin vermek () doğru bir yol değildir.

diyor. Ben de sakıncalarını merak ediyorum... Doğru değildir diyor fakat nedenini anlamadım doğrusu

**atix** · 31/07/2005 14:29

Php yaparsak güvenli oluyor ama orda "php yapmak doğru değildir" diyor.Niye doğru değildir?

**PhpMaster** · 31/07/2005 15:58

yanlıs bi bilgi bence , sadece inc olarak koyarsan dışardan ulasılabilir , inc.php veya direkt php olarak yaparsan 100/100 .inc uzantısından daha güvenilir olur

**Ansugo** · 31/07/2005 17:42

Birgün sunucu şaşırırsa ve php dosyalarını yorumlamadan gönderirse ne olur?

Konu: include ve require ile güvenlik

LinkBack

Seçenekler

include ve require ile güvenlik

Thread Information

Users Browsing this Thread

Benzer Konular

include - require

include yada require kullanımı

include güvenlik sorunu

require sorunu ?????

require () sorunu

Bookmarks

Bookmarks

Mesaj Yazma Hakları