Header set Access-Control-Allow-Origin "*"
bunu bu şekilde kullanırsan dışarıdan gelen bütün isteklere siteni açık hale getirirsin
- olan yere domain adresini yaz derim.
bir kaç farklı terimide mevcut
bana sorarsan bunları htaccess içinde kullanman.
strip_tags ı bence pek kullanma derim xss için sonra hüsrana uğrayabilirsin.
kendince bir ekiket fonksiyonu oluştur ordan süzgeçlerden geçir
gelen veri süzgeçten geçiyorsa yayınla geçmiyorsa hata ver yani
htmlspecialchars
addslashes
vb fonksiyonları kllanabilirsin.
yakın zamanda yaşadığım bir olay
yazılımınız ne kadar güvenlikli olursa olsun kullandığınız host sunucu firmasıda bir o kadar önemlidir.
bir yazılımızı bu yüzden o dönem çalıştığımız hosting firması çalışanı tarafından dışarı servis edilmiş ve iş adli makamlara taşımak zorunda kaldık.
bana göre ilk önce çalıştığınız hosting firmasını iyi değerlendirmeli sonrası kodlamada ki güvenliğe odaklanmalısınız
en çok dikkat ettiklerim şahsen
login işlemlerinde gelen istekleri hem süzgeçlerden geçir hemde kontrollerden geçir
formlarındaki girilen name değerlerini şifrele
formlardaki girilen verilerin ip adreslerini denetle
formlarda mutlaka captcha kullan
htaccess ile bazı zararlı bazı işlemleri yasakla
admin klasörüne normal login prosüründen ziyade htpasswd ile klasöre erişim kısıtlaması getir.
ekstra kullandığın paketler ( php ,js )'leri güncel olduğuna dikaat et buralardaki zaafiyetleri göz ardı etme.
kodlama tarafında injection açıklarına karşın adres satırında denemelere ban sistemi oluştur veya ikaz et bir şekilde
güncel kodlama kullan
en ufak bir hata kodunu bile göz ardı etme basit bir hata kodu bundan bişi olmaz deyip kapatırsan oradan başına neler geleceğini bilemezsin
kullandığın hosting veya sunucunun infinity360 vb zararlı yazılım kontrolcüsü kullandığından mutlaka emin ol.
şimdilik aklıma gelenler bunlar daha bir çok şey olabilir.
sessndd değişşklik yapamazlar yok ben biraz daaha garaanti iş yapayım diyorsan
session u openssl ile ve fiyatı da şifrele işlem yapacağaın yerde bu şifreleri çöz işlemlerini yap.
incele dediğinde atıyorum burda adam ordan fytı değiştiremesin zaten session a sunucuya erişemediği sürece müdahale edemezd
ben bütün form verilerini herzaaman şifrelerim
üyenin id sini session a alırsın
sessindaki üye id sql de varmı diye kontrol edersen yoksa sistemden atarsın
var ise
üyenin bilgilerini çeker ekrana basarsın.
api ile sms gönderiyorsan bunu da yapabilrisin zaten
formdan api ye gönderdiğin verileri aynı zamanda sql e kayıt ediceksin
eğer apiden "ok" alıyorsa veirtabanına kaydet no ve mesaj "ok" dönmüyorsa kaydetme.
SELECT siparis.id,musteri.sipID FROM siparis
INNER JOIN siparis.id = musteri.sipID ON musteri
soap ile kullan curl ile kullanılmıyor artık bildiğim kadarı ile.
$client = new SoapClient("https://tckimlik.nvi.gov.tr/Service/KPSPublic.asmx?WSDL");
ben ilk önce gelen get değerini sutunda varmı diye kontol ettiriyorum eğer varsa ise ftp varmı diye
is_file ile kontrol ediyorum eğer ordada var ise unlink ile siliyorum unlink işlemleri gerçekleşti ise db den de silme işlemi yapıyorum.
sırası ile
geelen değer sql de varmı
sql de var ise dizinde varmı
dizinde var ise sil
silme olduysa sql den kaldır.
https://pixinvent.com/demo/vuexy-html-bootstrap-admin-template/html/ltr/vertical-menu-template/
ben bunu kullanıyorum gayet kullanışlı temizliği güzel yapıldığı zaman.