Yaklaşık 4-5 aydır netbook’umda linux kullanıyordum. (Netbook edition). Geçen hafta Desktop PC’me de Ubuntu 10.10 kurdum ve daha detaylı linux öğrenmeye başladım. Linux’u gerçekten çok sevdim ve alıştım. PHP çalışmalarıma, ve projelerime aşikar olduğum için, linux’ta da pek zorluk çekmedim. Gerekli yazılımları (LAMP server > for tasksel, Netbeans for linux, Quanta Plus vs…) rahatlıkla yükledim ve kullanıyorum. Evimde Microsoft klavyesi hariç hiç bir MS ürünü kalmadı :) Desktop PC’lerimden birine Centos kurdum ve bazı PHP projelerini orada test ediyorum. Sık kullandığım diğer Desktop PC’me Ubuntu kurdum, Netbook’umda zaten Ubuntu vardı. Yani tamamen linux’a geçmiş bulunuyorum. Belki linuxla ilgileneniz varsa bu siteyi duymuşsunuzdur. http://www.whylinuxisbetter.net/index_tr.php?lang=tr linux’un neden daha iyi olduğunu kısa başlıklarla açıklayan güzel bir site. Bakmanızda fayda var derim. :) Özgürlük için linux ;)

• print yerine echo kullanınız. Echo print’ten daha hızlıdır.
• Array’lerde > $deger['sutun'] $deger[sutun]‘dan daha hızlıdır.
• <? yerine <?php kullanın.
• if/else yerine switch/case kullanmaya çalışın.
• Kesinlikle SQL sorgularınızı döngüler içine yazmayın.
• Sql sorgunuzu tek seferde çalıştırıp, arrayler üzerinde işlemler yapın.
• Değişkenlerinizi kopyalamayın. Direk üzerinde işlem yapın. ($Veri = $GelenVeri gibi…)
• Kullanmayacağınız php eklentilerinizi php.ini den pasif yapın.
• PHP’nizi ve server’ınızda ki component’lerinizi güncel tutun.
• Verilerinizi ve tüm sayfalarınızı istemcilere sıkıştırarak gönderin. (Bknz. Gzip ile bandwidth düşürme )
• Yüksek bir sunucu yükünüz varsa mutlaka
  • eAccelerator
  • MemCached
  • Yazılım tabanlı caching mekanızmaları.[Framework'ler] (CodeIgniter, Zend vs…)
• Yine sunucu yükünüz aşırı fazla ise PHP’nin session fonksiyonunu pek kullanmayın. Verilerinizi Memory‘de veya istemcilerin cookie‘sine tutabilirsiniz.
• Yine aşırı yüklerle uğraşıyorsanız, Apache server yerine Nginx server veya LightHttpd kullanabilirsiniz. Sunucu karşılaştırmaları için buraya bakabilirsiniz.
• Değişkenleriniz ve arrayleriniz ile işiniz bittikten sonra unset ile Memory’den silin.
• require_once() fonksiyonu diğer include fonksiyonlarından daha yavaş çalışır.
• str_replace, preg_replace‘den daha hızlı çalışır.
• Apache’nin mod_deflate özelliğini açın.
• DB ile işlemleriniz bittikten sonra bağlantıyı kapatın.
• Hata ayıklamak için error_reporting (E_ALL ) kullanın.
• Statik içerikler için, hızlı dosya serverları kullanın (thttpd) [img.sitem.com, js.sitem.com vs...]

Sizinde php ve sunucu performansı ile ilgili bildiğiniz mini ipuçlarınızı yazabilirsiniz.

Kaynak:

• Kodaman
• Kodaman2
• Kodaman3
• Chazzuka

CSRF açıkları genellikle form doğrulamalarında, POST’larda ve GET’lerde görülebilir. Image yoluna aldatma olarak GET metoduyla istenilen query strinler de işletilebilir. Örneğin bir mesaj sistemi yaptık. İlgili kişilere göre yetki sistemini de ayarladık (moderatörler ve yöneticiler silme, değiştirme, onaylama vs.. işlemlerini yapabilme gibi) diyelim. Normal kullanıcıların işlem yapmaması için de güvenlikleri aldık diyelim. Gelelim burada CSRF açığından oluşabilecek güvenlik açıklarına…

Değiştirme, onaylama, silme olaylarını GET yöntemi ile adresten aldığımızı düşünelim (?P=Delete&Id=146). Bu linke giren yetkili kullanıcılar, veritabanında ki 146. idli veriyi silebilirler (?). Sayfanın içine <img src=”?P=Delete&Id=146“  /> image kodunu yazdıktan sonra, sayfaya giren daha önceden girişini yapmış yetkili kullanıcılar ilgili işlemin aynısını yapabilecekler. Farklı bir örnek olarak, bir sayfadan GET yöntemi ile gönderilen verilerinde aynı yöntemi tetikleyeceği unutulmamalıdır. Bir mail geldi diyelim. Kişi, linke tıklamanızı istiyor. Link boş bir html sayfası açıp o anda yönlendirme yaparak bu adresi açtığını düşünelim. O tıklayan kişi yine sisteme giriş yapmış, ve yetkili kullanıcıysa, yine “Delete” stringini görecek ve silme işlemi yapılacaktır.

Bu açıktan korunmanın en güvenli ve hızlı yolu, session kontrolü dür.  Db işlemlerinizden hemen önce session kontrolü yaparak, sayfanın oluşturulan session ile mi geldiğini kontrol ettirebilirsiniz.

Php’de örnek vereyim.

//Mesaj inputu poş ise.
if(empty($_POST["Mesaj"])) {
$_SESSION["anahtar"] = md5(rand(0,9999));
//Random olarak üretilen md5 sessiona atılıyor.

//Form yazdırılıyor.
echo ‘
<form method=”POST”>
<input type=”text” name=”Mesaj” />
<input type=”submit” value=”Gönder” />
<input type=”hidden” name=”token” value=”‘ . $_SESSION['anahtar'] . ‘” size=50″ />
</form>’;
}
//Eğer post işlemi var ve Mesaj değişkeninin içi doluysa
elseif(isset($_POST["Mesaj"])) {
//Sayfadan gelen “token” değeri oluşturulan session ile aynıysa işlemler yapılıyor
if( $_POST["token"] == $_SESSION['anahtar'] ) {
echo(“Giriş Başarılı<br><br>”) . $_POST["Mesaj"];
$_SESSION['anahtar'] = ”; //SESSIONımızı boşalttık ;)
}
else {
//Gelen değer eşit değilse hatayı bas ;)
die(“Doğrulama Yanlış !!!”);
}
}

Burada sayfa post edilmediyse rand ile oluşturulan md5 i session a atıyor. Sonra input hidden nesnesine oluşturulan md5 atanıyor.Post edildiyse oluşturulan en son session ile, Post’tan gelen inputdaki token değeri ile karşılaştırma yapılıyor. Eşitse işleme devam ediliyor. Değilse işlem sonlandırılıyor.

Bu sistem hem flood ı önlemekte, hemde gizli olarak farklı yerden gelen POST, GET ve image içinde ki request değerlerinden korumaktadır.

Form doğrulamarında, kodlarla uğraşmam bana hazır bişiler lazım diyosanız da reCAPTCHA sistemini öneririm.

PDF içindeki konular aşağıdadır. Buradan Dökümanı indirebilirsiniz.
Ayrıca milw0rm’da ki PHP Güvenlik konusuna bakabilirsiniz.

XOOP Server

http://www.seyfullahkilic.com/Projeler/md5

Erhan BURHAN

İndir

Subdomain yaratma konusunda gelen taleplere cevaben hazırladığım kısa notları paylaşayım.

Herşeyden önce apache sunucusuna yönelik anlatacağım. Önümüzde 2 yol var: biri .htaccess, evet şu ünlü htaccess hep kaçtığınız ama artık tamam pes dediğiniz olay; diğeri ise php.

İlk olarak .htaccess ile çözüm: Bu tür çözümü yönlendirmeler için kullanıyoruz. Gerçekte yarattığımız bir subdomain yok aslında. İnceleyelim:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^([^\.]+)\.site\.net$ [NC]
RewriteCond %1 !^(www|ftp|mail)$ [NC]
RewriteRule ^.*$ http://www.site.net/profil.php?kullaniciadi=%1 [R,L]

Bu kod ile örneğin http://altan.site.com adresine gelecek talep, http://www.site.net/profil.php?kullaniciadi=altan adresine yönlendirilecektir. Böylece uzun ve şık durmayan urllerden kurtulmuş olacağız. Not: wildcard DNS host servisiniz tarafından aktif edilmiş olmalıdır. ^(www|ftp|mail) ifadeside yönlendirilmeyecek gerçek subdomainleri yazacağınız bölüm.

İkici yolumuz php. Bu sadece cPanel kullanılan sistemlerde çalışır. Ben hostgator kullanıyorum ve yıllardır bu kod sorunsuz işime yarıyor. Bu kod ile hem subdomaini yaratıyor hemde www klasörümüzde subdomain ile aynı ada sahip bir klasör yaratıyoruz. Subdomainde bu klasöre otomatik yönlendirilmiş oluyor.

// Kod çeşitli eleştirilerden sonra tekrar elden geçirildi ve optimize edildi. Ayrıca sonradan farkettiğim üzere klasör oluşturma sorunları yaratıyordu, bu sorunda giderildi.

prestashop

kendi alışveriş kartını sisteme entegre edebileceğin, oldukça güvenli ve kredi kartı sistemlerinide içersinde barındıran bedava bir web uygulaması.. kısaca ürünlerinzi pazarlayabileceğiniz güzel bir script.

uygulamayı burdan indirebilirsiniz.. ve ayrıca bildirgeçte daha önce hakkında yazılan bidiriye de şuradan ulaşabilirsiniz..

OpenCart

opencart

SEO ile optimize edilmiş ve çok hoş bir arayüze sahip olan opencart uygulamasında, kart sistemini kullanabilirsiniz. müşterileriniz ilgili ürünlere kendi yorumlarında ekleyebilirler.. bu uygulamayı da ücretsiz kullanabilir, istediğiniz gibi düzenleyebilirsiniz..

uygulamayı buradan indirebilir, şuradan da önizlemeleri ile fikir sahibi olabilirsiniz.

magentocommerce

magentocommerce

bir açık kaynak uygulaması olduğuna inanamayacağınız derecede muazzam bir e-ticaret uygulaması. magento’da sınırsız esneklik,kullancı dostu ve profesyonel bir yapı, 3.parti yazılımlar için yumuşak entegrasyon olanakları bulacaksınız.

uygulamayı buradan indirebelir, şuradan da önizleme ile bilgi sahibi olabilirsiniz.

ayrıca bildirgeçte daha önce hakkında detaylı bir analiz için bilgi alabileceğiniz şu linke uğrayabilirsiniz..

cubecart

cubecart

oldukça popüler olan bir e-ticaret uygulamasıdır. şirkete ait olan copright yazılarının silinmemesi karşılığında V3 sürümünü ücretsiz kullanabilir ve forumlarından da 3.parti yazılımları sisteme entegre edebilirsiniz. v4 ün ücretli olduğunu hatırlatmakta fayda var.

uygulamayı buradan indirebilir, şuradan da önizleme ile fikir sahibi olabilirsiniz.

agoracart

agoracart

anasayfasına şuan itibari ile ulaşılmaması, bizi onu tanıtmaktan geri tutmayacaktır..
limitsiz yönetim seçenekleri, ve esnek ayarlama biçimiyle kendine bu alanda yer bulan açık kaynak e-ticaret uygulamasıdır.

anasayfası kapalı olduğu için şimdilik buradan indirebilirsiniz.

zen-cart

zen-cart

kullanıcı dostu şekliyle ,tüccarlar ve alışverişçilere odaklı bir yapıya sahiptir. ayrıca, çoklu ödeme ve alışveriş seçeneklerini, nicelik indirimleri ve kuponları destekler. ayrıca kurulumu da oldukça basittir.

indirmek için burayı, ön inceleme için şurayı ziyaret edebilirsiniz.

oscommerce

oscommerce

büyük bir kesim tarafından desteklenmesi, kart desteği olması, veritabanının kolayca yedeklenebilmesi,faturaları basmaları için müşterilere imkan vermesi gibi pek çok özelliğiyle tam bir e-ticaret uygulaması.

buradan indirebilir ve şurdan da hakkında bilgi sahibi olabilirsiniz. ayrıca bildirgeçte daha önce incelenen bu uygulama hakkında şurdan bilgi edinebilirsiniz.

storesprite

storesprite

müşterilerin ürünleri oylayabildiği, yorumlayabildiği, ürünler ile ilgili vergilerin otomatikleştirilebildiği ve daha fazlasının yapılabildiği bir e-ticaret uygulamasıdır. “copyright” yazısının silinebilmesi için ek bir mebla ödemeniz gerektiğini unutmayın.

buradan bu uygulamayı indirebilir, şuradan da örnek siteleri inceleyebilirsiniz.

bildiriyi buraya kadar okuduğunuz için teşekkürler.

Kaynak: bildirgec.org