HTML Injection Saldırılarına Önlem

merhaba,
ilk önce HTML Injection saldirisi nasil olur ona bir değinelim..

Örnek: Sizin bir scriptinizde yorum yapma sayfası var ve $_POST filtrelenmemişse Defacer olarak adlandırılan bu kişi yorum yazalabilecek kısma yönlendirme META olarak adlandırılabilen kodu koyup sizin sitenizin o sayfasını yönlendirip DEFACE edebilir. bazıları onay sistemi kurup bunun üstesinden gelebilir ancak ona gerek duymadan biz bu işi htmlspecialchars() ve trim() den geçirirsek halledebiliriz.

Örnek bir Sorgu oluşturulalim..

if(isset($_POST['gonder'])){

$azatmetin = htmlspecialchars(trim($_POST['textfield']));

//veriyi veritabanına almadan önce htmlspecialchars() ve trim() 

//fonksiyonuna alıp öyle değişkene atadık.

//Böylece veri html taglarından arındırıldı.

$kaydet = mysql_query("INSERT INTO deneme VALUES(NULL,'$azatmetin')");

 if($kaydet){

echo 'Kaydedildi';

}else{

echo 'Kayıtta hata oluştu';

}

} 

Gördüğünüz
gibi filtreleme işini yaptik ancak tabiki sizde kendinize göre
güvenlik fonksiyonları kullanabilirsiniz.. ben bütün scritplerimde HTML
Injection a karşi bu fonksiyonları kullanıyorum, tavsiye ederim.

saygılar.