2. Güvenlik bir ölçümdür,özellik değildir.
Ne yazık ki bazı yazılım programcıları
güvenliği sağlanması gerekenler listesine
koyuyor. Güvenli mi sorusu en az sıcak mı
sorusu kadar görecelidir.
3. Uygulamanın kural dışı kullanımı hep
düşünülmelidir.
Güvenli bir tasarım çözümün parçasıdır.
Programlama sırasında uygulamanın kural
dışı kullanılabilme durumu göz önünde
bulundurulmalıdır.
4. Web uygulama güvenliğinin temel taşıdır ve
programlama dilinden ve geliştirme
ortamından bağımsızdır.
Uygulamaya giren ve uygulamadan çıkan
verilerin geçerliliğinin kontrolü anlamına gelir.
5. İyi bir yazılım projesi tasarımı programcıları şu
işlemleri yapmaya dikkat eder:
Kontrolsüz veri girişi olmamalı
Geçersiz veri kontrolü geçmemeli
Bütün verilerin kaynakları bilinmeli
6. Bu yöntemde web yoluyla erişilebilen bir tane
php betiği vardır.
Diğer bütün php betikleri bu betik tarafından
gerektiğinde include veya require
fonksiyonları ile çağrılır.
7. Bu yöntemde genel güvenlik
uygulamalarından sorumlu bir betik vardır ve
diğer bütün betiklerin başında bu betik
çağrılır.
8. Bir php betiği çalışmaya başladığında http
iletişimi bitmiş demektir.
Yani istemci tarafından hiçbir veri
gönderilemez.
Bu nedenle tanımlanan bitin değişkenlere
başlangıç değeri verilmesi çok önemlidir.
9. Php5'ten önceki sürümlerde hata raporlama
işlemini bazı belirteçleri ayarlanarak kolayca
yapılabilir.
Bu sürümlerde hata raporlama
programlamadan çok php yorumlayıcısı
tarafından yapılır.
10. Web uygulamaları güvenliği konusunda en
yaygın olarak kullanılan ve bilinen güvenlik
terimidir.
Php ile yazılmış bir çok açık kaynak kodlu
projeleri zaman zaman xss açıklarından
kaynaklanan sorunlar yaşamıştır.
11. Bir kullanıcının sahip olduğu güveni kötüye
kullanma
Dışarıdan veri alan formlar, web tabanlı e-
posta uygulamaları dışarı ile veri alış verişi
üzerine çalışan bütün betiklerde kendini
gösterir.
Saldırgan veriyi değiştirip istediği herhangi bir
şeyi gösterebilir.
12. Dışarıdan gelen bütün verileri kontrol edin
Php nin sağladığı fonksiyonları mutlaka
kullanın.
Beyaz liste yöntemini kullanın
Değişken isimlendirme kurallara bağlanmalı