Onur Altınsoy Onur Altınsoy
top logo

YAZIŞALIM

KONUŞALIM

542 746 2726

SQL Injection Açığını PDO ile Kapatmak

PDO Sınıfı Güvenlidir

SQL INJECTİON İLE LOGİN HACK VE KORUNMA başlıklı yazımda açığı olan bir uygulama yazmıştık canlı olarak sql injection saldırısı gerçekleştirmiştik ve bu açığı kapatmıştık fakat o yazıda da bahsettiğim üzere tam anlamıyla bir güvenlik için veritabanı uygulamalarımızı PDO sınıfını kullanarak geliştirmeliyiz. Bu videoda aynı uygulamayı bu sınıfı kullanarak düzenledim ve güvenli hale getirdim.

Prepare Methodu

Login sayfasında email ve şifre kontrolü yaptığım sorgu için kullandığım mysql_query fonksiyonunu sınıfın prepare methodu ile değiştirdim bu sayede login formundan gelen verileri direk yazmak yerine parametrelerimi yazdım ve execute methodu ile bu parametrelere verilerimi atadım böylelikle pdo bizim yerimize güvenli bir şekilde sorguyu çalıştırdı.

rowCount ile dönen satır var mı diye baktım ve eğer varsa fetch methodu ile gelen kullanıcının adını alarak sessiona yazdırdım. fetch içerisinde kullandığım PDO::FETCH_OBJ parametresi veriyi nesne olarak işlemek istediğim anlamına geliyor.

Artık güvenli bir uygulamamız var.

Yazıyı Paylaş :

Diğer Yazılar

Bir cevap yazın