Hala uzmansorusu.com‘da sorulan soruların ciddiye alınacak bir kısmında, üniversiteye gelen stajerlerde, hatta çalışma fırsatım olan arkadaşlarda bu konuda bir bilgisizlik var…

Aslında bu blog’a başlarken ileri düzey konulara, framework’lere falan değineyim istemiştim ama pes ediyorum artık. Şuraya yazayım da en azından lazım olduğunda al oku işte diye adresini veririm :)

SQL Injection Nedir?

Türkçeye çevirirsek SQL’in içine zehir enjekte edilmesidir diyebiliriz. Örnek vermek gerekirse elimizde bir kullanici_detay.php dosyası olsun:

$query = mysql_query("select * from users where id=".$_GET['id']);

satırını ele aldığımızda, $_GET['id']‘nin bir sayı olduğunu farz ederiz ve kod düzgün çalışır. Bu sayfanın adresi de şöyle birşeydir

http://www.huysuzadam.com/kullanici_detay.php?id=5

Peki ben uyanıklık yapıp adres satırını şöyle değiştirirsem:

http://www.huysuzadam.com/kullanici_detay.php?id=1 or 1=1

Bu durumda sql cümlesi şöyle birşeye dönüşmüş olur:

SELECT * FROM users WHERE id=1 OR 1=1

1=1 önergesi her zaman doğru döndüreceği için tüm kullanıcıları listeletebilirim bu durumda…

Ne Zararı Olur?

Tüm kullanıcıları görse nee, görmese ne diyebilirsiniz. Peki bu güvenlik açığı ile neler yapılabilir?

Az önceki örneği değiştiriyorum, bu sefer biraz daha karışık işlere girelim:

$username = $_POST['username'];
$passwd = $_POST['passwd'];
 
$query = mysql_query("select * from users where username='$username' and passwd='$passwd' ");

Bu sefer bir hacker olarak $_POST['username'] değişkenini yine uyanıklık yaparak aynen şöyle gönderiyorum:

a' or 1=1 or 'b

yerine koyduğumuzda sql’imiz şu hale gelmiş oluyor:

SELECT * FROM users WHERE username='a' OR 1=1 OR 'b' AND passwd='asdf'

Gördüğünüz gibi OR’lar sayesinden herhangi bir kullanıcı olarak girebiliriz. SQL’in son hali kolay okunsun diye ben böyle girdim ama biraz yaratıcılık kullanılarak daha kısa ya da daha farklı yaramazlıklar yapılabilir.

Nasıl Önlememelisiniz : magic_quotes_gpc

PHP’nin eski versiyonlarında magic quotes gibi bir ayarla SQL injection’a çözüm ürettiğini zannetti Zend firması. Aslında bu daha sonra çok baş ağrısı yaratacak bir karardı ve o yüzden de PHP6′da yanılmıyorsam tamamen kaldırılacak bu özellik.

Magic Quotes şu şekilde çalışır:

php.ini’den magic_quotes_gpc aktif edilirse PHP otomatik olarak tüm $_GET, $_POST ve $_COOKIE değişkenlerinin içindeki tırnak işaretlerini \’ ve \” ile değiştirir. Bu durumda ikinci örneği ele alırsak sql şu hale gelmiş olur:

SELECT * FROM users WHERE username='a\' or 1=1 or \'b' AND passwd='asdf'

Bu durumda \ işareti yanındaki karakteri “escape” eder, yani tek tırnak işaretinin tırnağı kapama görevine son verir. Böylece veritabanı hakkaten de adı a\’ or 1=1 or \’b olan bir marslıyı (!) bulmaya çalışır.

Kırma girişimi başarısızlıkla sonuçlanır, dünya kurtulur.

Burada dikkat edilmesi gereken tek nokta, yazının başında verdiğimiz örnekteki gibi sayıları kontrol ederken de tırnak işareti kullanmamız gerekir.

Yani;

$query = mysql_query("select * from users where id=".$_GET['id']);

yerine

$query = mysql_query("select * from users where id='".$_GET['id']."'");

yazmamız gerekir.

Ancak sakın magic_quotes_gpc yönetimini kullanmayın!

Çünkü bu konuda iki büyük sorun var: Birincisi psikolojik olarak buna o kadar alışıyorsunuz ki sanki bu magic_quotes_gpc açıksa bir daha asla SQL injection yemezmişsiniz gibi geliyor. Sonra da biri gelip bu sefer de /* */ kullanarak SQL injection yapıyor. Ya da görünmez ASCII karakterleri ya da diğer muhtelif yöntemler.

(Not: Bu muhtelif yöntemleri burada tek tek yazmayacağım ki bu doküman bir “hacker’ın el kitabı”na dönüşmesin ;) )

İkinci büyük sorun da, hiç başınıza gelmeyecek zannetseniz de hosting değiştirme problemi. magic_quotes_gpc’ye güvenirken, bir anda bu ayarın kapalı duruma geldiğini düşünebiliyor musunuz? Kolay gerçekleşecek bir senaryo değil gibi gözükse de gayet olasıdır, tecrübeyle de sabittir!

3. daha önemsiz sorun ise, “Ozan’ın kalemi” gibi bir cümledeki tırnak işaretini de escape etmesi. Bu durumda veritabanına yazmadığınız durumlarda “strip_slashes” gibi bir işlem yapmanız gerekiyor ki bu da bazen inanılmaz can sıkıcı olabiliyor.

SQL Injection Nasıl Önlenir?

Gelelim sadede. Bunu yapmanın birkaç yöntemi var. Bana en makul gelenleri:

mysql_real_escape_string

Bu fonksiyon, değişkenlerin içindeki tüm zararlı karakterleri “escape” eder, yani güvenli hale getirir.

$_POST['username'] = mysql_real_escape_string($_POST['username']);
$_POST['passwd'] = mysql_real_escape_string($_POST['passwd']);

şeklinde kullanılır.

Avantajları:

1. Ekstra bir kütüphaneye falan gerek yok, doğrudan kullanılabilir.

Dezavantajları:

1. Yazması çok sıkıcı
2. MySQL’den başka veritabanı kullanırsanız ne olacak?

Bind etme yöntemi

Aslında bunu mysql konutları ile yapmak da mümkün, ama zahmetli olduğu için bir database wrapper kullanarak yapılışını anlatacağım.

Bir database wrapper ya da PDO kullanılır. Örneğin Zend_Db kullanalım:

require_once '/var/lib/ZendFramework/Zend/Db.php';
$db = Zend_Db::factory('Mysqli', array(
    'username' => 'myuser',
    'password' => 'mypass',
    'dbname' => 'mydbname',
    'driver_options' => array(MYSQLI_INIT_COMMAND => 'SET NAMES UTF8;')
));
 
$user = $db->fetchRow("select * from users where id=?", $_GET['id']);

Avantajları:

1. Soru işaretinin yerine değişkenimiz güvenli bir şekilde yerleştirildi.
2. “fetchRow” metodu sayesinde sadece 1 satır çekilip $user’a eşitlendi. Dolayısıyla mysql_fetch_row vs. yazmanıza da gerek kalmadı.
3. MySQL sorguyu cache’leyebildi. Direkt değişkeni yazdığınızda veritabanı onu cache’leyemez.

Dezavantajı:

1. Yeni birşey öğrenmek ve uygulamak gerekiyor. Bu da aslında dezavantaj değil avantaj aslında ama anlayana ;)

Yazılım ve donanım masraflarını çıkardığımız zaman geriye kalan maliyet yazılımcıların çalışma süresi, bu yüzden de projenin ne kadar hızlı geliştirilirse maliyeti o kadar düşük olur diyebiliriz. İster kendi projenizi geliştiren bir yazılımcı olun, ister bir şirket, bu gerçek değişmiyor.

Tabii üretim hızını arttırırken, bunun tam karşısında dikilen çok önemli bir parametre var, o da KALİTE ! Hızlı yazmak uğruna kaliteden ödün vermemeliyiz… Türkiye’deki berbat yazılım kalitesinin bence en büyük nedeni bu.

Sorun?

Makine mühendliği eğitimi sırasında üretim planlama ile ilgili derslerimiz vardı. Bunlardan biri de seri üretimde maliyetin düşürülmesi için yapılabilecekler. Mesela bir otomobil üretim bandını düşünün.

Her ne kadar yazılım sektörü ile kıyasladığınızda maliyeti etkileyen çok fazla parametre olsa da, aynen yazılımdaki gibi üretim hızını ne kadar arttırırsanız birim otomobil başına maliyetiniz de o kadar düşer.

Burada hızı optimize ederken en önemli bir prensip vardır:

Üretim işleminin hızını arttırmaya zorlarsanız kaliteden kaybedersiniz. Ancak asıl optimize edebileceğiniz nokta, üretim işlemleri arasında ara maddelerin bir yerden bir yere transferi, makineye bağlanması, makineden sökülmesi gibi ara işlemlerdir.

Örneğin bir torna işlemini olması gerekenden daha hızlı yaparsanız torna bıçağının ısınması vb. nedenlerden ürettiğiniz malzemenin yüzey KALİTESİ düşer, pürüzsüz bir yüzey yerine tırtıklı bir yüzey elde edersiniz.

Çok benzer bir şekilde kod yazma süreniz 3 aşağı  5 yukarı bellidir. Eğer çok hızlı yazmaya çalışırsanız mutlaka bazı noktaları gözden kaçırmaya başlarsınız. Bunun da acısı birkaç ay sonra çıkar: “Ben mi yazmışım lan bunu?!?!”

Nasıl?

Peki bu konuda ne yapılabilir? Programcı özelinde baktığımızda bence önemli unsurlardan birisi, aynı seri üretim yapan bir fabrikada olduğu gibi, ara işlemleri optimize etmek. Yani program yazarken rutin olarak yaptığımız ara işlemleri hızlandırmak.

İşte benim optimize ettiğim bazı şeyler. Eğer bu listeye eklemek istediğiniz bir şey varsa lütfen yorum olarak yazın, buraya eklerim…

1. Çift Monitör Kullanmak

Bilkent’teki işimde monitörümün yanına ikinci bir monitör koyduğum zaman çalışma arkadaşlarımın ilk tepkileri daha çok “wow ne havalı” gibi hafif dalga geçen bir yaklaşımdı. Şu an, departman müdürümüz de dahil çoğu kişi çift monitör kullanıyor…

Nedeni kesinlikle hava atma merakımdan değil. Basit bir rutini devreden çıkartmak: (Alt + TAB) kombinasyonu. Bir proje yazıp test ederken saatte kaç keç alt+tab kombinasyonunu kullandığınızı saydınız mı? Ben de saymadım aslında ama: ÇOK :)

Bir monitöre favori browser’ınızı koyuyorsunuz, diğerine editörü. Editörde yazdığınızın sonucunu browser’dan karşılaştırıyorsunuz. Ya da CSS ile uğraşıyorsunuz atıyorum. CSS’i Firebug ile modifiye ederek istediğiniz sonucu elde ediyorsunuz. Sonra yandaki monitörden son halini CSS’e yazıyorsunuz.

Hatta itiraf ediyorum atuyorum 5 dakika süren bir işlemi yaparken ikinci monitörde minesweeper oynadığım da çoktur :) Çünkü o sırada başka bir işe girerek ilkine olan konsantrasyonumu kaybetmek istemem…

2. 10 Parmak Yazabilmek

Dalga geçmiyorum, hala 2-3 parmakla kod yazmaya çalışan insanlar var yahu!

3. Shortcut Kullanmak

Belki abarttığımı düşüneceksiniz ama, hiç klavyeden elinizi kaldırıp mouse’a götürmenin size vakit kaybettirdiği dikkatinizi çekmiş miydi? Bu hareket belki 0,3 saniye alıyor ama günde belki 10.000 kere yapıyoruz.  Hemen hemen her işlemin bir shortcut’ı var: Commit et, kaydet, yükle (upload), dosya aç, dosya bul vs.vs. Bazı işlemlerin çok abuk shortcut’ları olabiliyor, tek elle yapamadığınız. Onları da üşenmeden değiştirin derim…

Aslında shortcut değil ama, yeni IDE’lerde code templates diye bir olgu var. Örneğin netbeans’de “assign” yazıp TAB’a bastığımda $this->assign(‘parameter’, $parameter); gibi bir kodu otomatik üretiyor ve cursor ‘parameter’ üzerinde oluyor. Onu örneğin ‘users’ olarak değiştirdiğimde otomatik olarak $parameter da $users oluyor…

Kullandığım başka bir trick de Textmate’ten: Shift + Ctrl Enter yaptığımda bulunduğum satırın sonuna bir noktalı virgül koyup sonraki satıra geçiyor. Bunu netbeans’de yapmak için basit bir makro kaydetmem gerekti. Bir satırın ortasındayken sona git, noktalı virgül koy, sonra enter’a bas yerine epey hızlandırıyor beni…

Siz de kendi hızınızı arttıracak shortcut’lar üretebilirsiniz.

4. Programlara Kolay Erişim

Favori programlarınızı başlat menüsü altından tüm programlara, oradan program dizinine, oradan programa gidip mi çalıştırıyorsunuz?

Her gün kullandığınız programları mac kullanıyorsanız dock’a ekleyebilir, windows 7 kullanıyorsanız “pin” ile taskbar’a sabitleyebilirsiniz. (Daha eski bir windows kullanıyorsanız önce onu çöpe atmakla işe başlayabilirsiniz!) Günlük kullanmadıklarınızı ise buraya koymayın ki bu sefer de yüzlerce program arasından günlük programınızı aramayın…

Diğer programlara erişmek için Mac’te Cmd+Space ile spotlight’ı açıp programın adını yazabilirsiniz. Aynısını windowsda yapmak için klavyenizdeki windows tuşuna basıp programın adını yazmaya başlayın, başlat menüsü açılıp program listede çıkar, oradan yine klavyeyle seçip açabilirsiniz.

5. Yıldırım gibi Çalışan Bir Bilgisayar

Birçok yerde işin bu erbapları der ki:

“Paranızın alabileceği en iyi bilgisayarı alın”

Sonuçta işinize yatırımdır bu. Bir yandan donanım problemleriyle ya da kanıran bir bilgisayarla uğraşırken nasıl konsantre olabilirsiniz ki işinize?

Kullandığınız donanımın birbirine uyumlu olması çok önemli o yüzden marka bilgisayarları tercih etmekte yarar var. Para ayırabiliyorsanız Mac’i sırf bu yüzden tavsiye ederim. Windows 7 bana göre gerek stabilite, gerek performans, gerekse fonksiyonalite açısından Snow Leopard’ı solladı ancak donanım olarak Mac kadar düzgün çalışan PC her zaman toplanmıyor. Sessizliği de cabası…

En son yakın bir arkadaşım bilgisayarının sesinden bıkıp kasayı yan odaya koymaktan bahsediyordu… Duvarı delip kabloları oradan geçirecekmiş ;)

Windows 7 kullanıyorsanız hızlı bir USB belleği windows 7′yi hızlandırmak için kulanabilirsiniz. USB’yi takın ve ekrana çıkan yönlendirmeleri takip edin. Bilgisayarınızın daha hızlı tepki verdiğini görebilirsiniz.

Linux’a gelince… Desktop olarak Kullanmayın! Bu kadar basit :)

http://www.phpwomen.org/forum/index.php?t=msg&th=488

MVC’nin yandan yemişi olan bu yapı FotoKritik’te kullandığımı andırıyor.

Web tabanlı yazılımlarda kullanılan MVC tip2′nin dezavantajı aynı işlem için çok dosyayla uğraşma gerekliliği. Controller dosyasında model aksiyonunu çağırıp view’a assign edeceksiniz, model dosyasında aksiyonu yazacaksınız, view dosyasında da formatlamayı yapacaksınız. Üstüne bi de helper metotları falan gerekirse onları yazacaksınız falan.

Bu yazdığım yapıda ise görüntüleme için tek, insert/update/delete için de iki dosyaya bakmak yetiyor.
Fazla programcının çalışmadığı küçük ve orta boy projeler için verimli bir şekilde kullanılabilir.