mgsmus wrote:ferhatyesilmen wrote:Bu tip saldırılar için, ekstra bir şey yapmaya gerek varmı?
Yazılım içerisinde genel kurallara uyduysanız sorun olmaz. Laravel içindeki throttle middleware ile rotaları koruyarak bir nebze rahatlama sağlanabilir. middleware('throttle:20,1') gibi mesela. Bu, kullanıldığı rotaya aynı IP adresinden 1 dakikada 20 kez girilmesine izin ver demek, bu limiti aşarsa dakikanın bitmesini bekleyecek
Sunucu bazında ise iptables gibi güvenlik duvarı ile şüpheli istek gönderen IP adresleri otomatik engellenebilir.
Çok fazla saldırı oluyorsa CloudFlare deneyebilirsiniz, ücretsiz versiyonu da gayet başarılı.
Throlette middlewareyi kullanıyorum hocam 10,1 olarak. Laravelin kuralları dışına çıkmadım. Raw query yazdığım bir kaç yer var orda user tarafından veri alınan yerler değil. Daha çok istatistik alanlarında kullandım.
Kevin-Mitnick wrote:SQL Injection’dan Korunma Yolları
Bunun için aslında çok basit bir yol var:
Kullanıcıdan aldığınız input’larda,
URL’lerdeki parametrelerde,
Cookie’lerdeki değerlerde bulunan
tek tırnak (‘), çift tırnak (“), taksim (/), bölü (\\), noktalı virgül (FPRIVATE “TYPE=PICT;ALT=wink.gif”
boş karakter (NULL), carriage return (CG), yeni satır (NL), vb. karakterleri filtreleyin.
Sayılar için SQL sorgusuna eklemeden önce integer’a çevirin. Veya ISNUMERIC fonksiyonunu kullanarak gerçekten integer olup olmadığını kontrol edin.
Kullanmadığınız stored procedure’leri kaldırın: master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask, …
Aslında ben laravel için sormuştum. Eloquent ORM kullanıdğımız için çokta endişe etmedim açıkçası sql injection saldırıları için. Ama yinede ekstra alınması gereken önlem varmı diye sormak istedim.
Teşekkür ederim ilginiz için arkadaşlar.