🔥CSRF – XSS – SQL Injection Engelleme

[wmdestek]

CSRF – XSS – SQL Injection Engelleme​

Web güvenliği denildiğinde en sık karşılaşılan üç saldırı türü CSRF, XSS ve SQL Injection’dır. Bu açıklar küçük gibi görünse de, ihmal edildiğinde ciddi veri kaybına, kullanıcı hesaplarının ele geçirilmesine ve hatta sistemin tamamen kontrol dışı kalmasına yol açabilir. Bu yüzden konuya “teknik detay” gözüyle değil, temel bir güvenlik refleksi olarak bakmak gerekir.

CSRF (Cross-Site Request Forgery) Nasıl Engellenir?​

CSRF saldırısında amaç, kullanıcının oturumu açıkken onun adına istek göndermektir. Örneğin kullanıcı panelde giriş yapmışken, arka planda şifre değiştirme isteği tetiklenebilir. Bunu önlemenin en temel yolu CSRF token kullanmaktır. Formlara ve kritik isteklere benzersiz, oturuma özel bir token eklenir ve sunucu bu token’ı doğrular. Ayrıca SameSite cookie ayarını aktif etmek ve kritik işlemleri sadece POST metoduyla yapmak da önemlidir. Sadece “gizli input koymak” yeterli değildir; sunucu tarafı doğrulama şarttır.

XSS (Cross-Site Scripting) Nasıl Engellenir?​

XSS, saldırganın siteye zararlı JavaScript kodu enjekte etmesiyle gerçekleşir. Bu açık genellikle yorum alanları, profil bölümleri veya arama kutuları üzerinden ortaya çıkar. En etkili önlem çıktı filtreleme (output escaping) yöntemidir. Yani kullanıcıdan gelen veri doğrudan ekrana basılmaz, HTML karakterleri encode edilir. Ayrıca Content Security Policy (CSP) başlığı kullanmak da zararlı scriptlerin çalışmasını zorlaştırır. Burada önemli bir tartışma noktası şudur: Sadece input filtrelemek yeterli mi? Hayır. Asıl kritik olan, çıktıyı güvenli şekilde üretmektir.

SQL Injection Nasıl Engellenir?​

SQL Injection, veritabanına zararlı sorgular enjekte edilmesiyle oluşur. En klasik örnek: ' OR 1=1 -- gibi ifadelerle login sistemini atlatmaktır. Bunun temel çözümü hazır ifadeler (prepared statements) kullanmaktır. PDO veya parameterized query kullanıldığında kullanıcı girdisi sorgunun parçası değil, parametresi olur. Ayrıca veritabanı kullanıcısına gereksiz yetkiler vermemek de önemlidir. Bir web uygulamasının veritabanı kullanıcısı genellikle sadece SELECT, INSERT, UPDATE yetkisine sahip olmalıdır; DROP veya ALTER gibi yetkiler çoğu senaryoda gereksizdir.

---

Güvenlik Bir “Tek Seferlik” İşlem Değildir​

Burada asıl tartışılması gereken konu şudur: Güvenlik sadece kod yazarken mi sağlanır, yoksa sürekli test edilmesi gereken bir süreç midir? Çoğu geliştirici temel önlemleri aldıktan sonra sistemi güvenli kabul eder. Oysa düzenli güvenlik testleri, log analizi ve güncel yazılım kullanımı da en az kod seviyesindeki önlemler kadar önemlidir.

Sonuç olarak CSRF, XSS ve SQL Injection açıklarını engellemek mümkündür; ancak bunun için hem geliştiricinin bilinçli olması hem de sistemin düzenli olarak denetlenmesi gerekir. Güvenlik, bir özellik değil; devam eden bir sorumluluktur.

daha farklı bilgi ve önerisi olan varsa konu altınada bilgilendirebilir.

 

[Roodmin]

ismi lazım değil bi firmadan hiç unutmuyorum 200 mb 10 gb tarafikli bir host almıştım, phpnuke kurmuştum sorunsuz calışıyordu tek sıkıntım 200mb hemen doluyordu çok resim vardı eklentilerden dolayı ayrıca acemiydim ozamanları, 200 kadar üyem var sitemde günlük aktif kullanıcılarda vardı, çok güzeldi, bi gün gece bi mesaj geldi arkadaşımdan, ozamanları skype. msn vardı, whatsapp nerde site yükleniyor yazısı cıkıyor öyle kalıyor dedi, önce durumu anlamadım, tarayıcısından felandır dedim... pc acık baktım bi sorun görünmüyor başka işim vardı siteden cıktım işimi hallettim, bi mesaj geldi aynen söyle yazıyor hiç unutmam " hackerler siteni hacklemişler, tüm tanıdıklarıma haberim Skype görüşelim" bide bizim cikcik diye bi sohbet kanalımız vardı. aynen böyle bi mesaj geldi sanki mahalle kavgasına gidecez tekrar baktım yine bişey yok sitede bi yandan yazıyorum bişey yok sitede normal, sonra interneti kapatıp actım pc aynı şekil, abi site acılmadı index atmışlar ve sitedeki tüm herşeyi silmişler
adamlar uyanık önce index koymuşlar yükleniyor diye, hostta işlerini bitirdikten sonra yükleniyor index kaldırıp kendi indexlerini koymuşlar, ilk gözüme çarpan ftp hesabı acmışlar.
hosting firması hesabı komple sildi tekrar actı, 1 hafta eski yedeyi yükledim aradan 1 hafta gecmeden yine aynı..firm benim sitede acıktan olduğunu idda etti, bense aksini.. onada eyvallah dedim tekrar hosttu sildi tekrar actı, ben sadece index.html koydum siteye, phpnuke kurulu sitemin teleport ile html olarak cektim, index.html olaral ekledim, aradan yine 1 hafta gecmedi hoop yine ..
sonra anladım phpnuke değil host firmasından kaynaklı acık olduğunu.
firmaya söyledim, pek umursamadılar, yaklaşık 8 ayım vardı hostun bitmesine başka firmadan host daha sonra vps şimdide fiziksel sunucum var ve içinde 15 den fazla site var. sorunsuz kullanıyorum

böyle bir hack olayı yaşadım
biraz uzunmu oldu ne :

 

[kuzeyyildizi]

Güvenlik konusundaki bu detaylı paylaşımın için teşekkürler! CSRF, XSS ve SQL Injection gibi saldırılara karşı aldığın önlemler gerçekten çok önemli. Özellikle CSRF token kullanımı ve çıktı filtreleme yöntemleri, güvenlik açığını minimuma indirmek için kritik adımlar.

Ayrıca, güvenliği sürekli bir süreç olarak ele alman da çok değerli. Düzenli testler ve güncellemelerle sistemin güvenliğini sağlamak, kullanıcı verilerini korumak açısından oldukça elzem. Başka öneriler veya deneyimler paylaşmak isteyenler için bu alan harika bir fırsat olabilir.