Yaptığımız web sitelerinde nasıl güvenlik sağlarız buna değinecem.

1-Sql Injection
Bu en çok bilinen açıklardan biridir.veri tabanı olan sitelerde sql yapısını değiştirerek kendi
isteklerini gerçekleştirmesini sağlarlar.bunu engellemek için post veya get alınan verilerde
",',/ işaretlerini mutlaka kaldırmalı veya etkisiz hale getirmeliyiz.
Etkisiz için htmlspecialchars() komutu
Kaldırmak için str_replace komutları kullanılabilir.

2-Kod Girişi
Post veya get ile aldığımız verilerde html kod girişi olabilir.bunu kaldırmalıyız siteye zarar
verilebilir.
Bunun için strip_tags() komutu var

3-Floot
Sitemizde chat var diyelim bir float programı kullanan biri saniyede binlerce mesaj yollaya bilir.
Bunları veri tabanına kayıt ediyosak sitemizde yavaşlama kitlenme olabilir.
bu tür programlardan korunmak için chatta-mesaj yollama-yorum yapma ... gibi girdilerinde belirli
süreler koymalıyız mesela saniyede 1 mesaj atabilsin gibi zamanlar belirlemeliyiz.

4-Kod Gizliliği
Web sitelerimizde ne kadar kodu kullanıcılara göstermesek o kadar iyidir.
Php server tabanlı bir dil olduğu için kodları gözükmez.
Ama javascript css html kodları gözükür.
Javascript kodlarınıda şurdan şifreleyip kullanırsak bunuda kısmen güvenli hale getirmiş oluruz.
http://www.atasoyweb.net/Javascript_Encrypter/

5-Dosya Upload
Sitemizde bir upload sistemi varsa mutlaka uzantı kontrolü yapmalıyız.
Yoksa sitemize exploit shell gibi yazılımlar sokulabilir.
dosya ismini . ya göre explode() ile parçalıyıp count() ile saydırıp son kısımda uzantıyı elde
edebiliriz.

6-exploit,shell
Yukarda da dediğim gibi bu dosyaları sizin sitenize veya sizin hostunuzda bulunan diğer
sitelerden birine atarsa sizin sitenizin olduğu pc tehdit altındadır.
Bu yazılımlar sizin hostta bulunan tüm dosyalırınızı gösterebilir-kopyalayabilir-değiştirebilir.
bunun için önlemlerse madde:5 :E ve c-panelden dosya izinlerini düzenlemeniz.böylelikle diğer sitelere
yüklenenden korunmuş olursunuz.

7-Session Hijack
Session cookieden daha güvenli gözüksede oda pek güvenli değil.
Session_id güvende tutmalıyız.
Ama güvenlik için alabileceğimiz önlemler var.
session_id()//o kullanıcıya ait session id

$_SERVER['HTTP_USER_AGENT']// tarayıcı bilgisi

$_SERVER['REMOTE_ADDR']//ip i

Bunları veri tabanında tutacaz her giriş yaptığında güncelleyecez ve sürekli kontrol edecez
bunlardan her hangi biri eşleşmesse çıkış yapıp giriş yaprıracaz.
Belirli aralıklardada session_id() güncelleyerek ek güvenlik de alabiliriz.

session_regenerate_id();//id güncelle

Cookie yerine session tavsiye ederim yinede.

8-Yetki
Admin paneli kodlayan biri admin paneliveri tabanında ek bir stün ile bunun admin diye
ekleyip sadece adminin görebileceği yerde kontrol edin.yoksa normal bir kullanıcı admin.php
yazıp girerse erişim yapabilir.

9-Trim
Bu pek siteye zararı olmasada kontrol etmeliyiz.Trim baştaki ve sondaki boşluktur.
bir kişi kullanıcı adına veya yazdığı mesaj boşluk karetterine basıp yollarsa
ve bşz =="" diye kontrol edersek o alan çalışmaz çünkü boşluk karekteri var arada
bunu trim() içine alarak baş son boşlukları siler ve şimde =="" alanı çalışır.

NOT:
Yukardaki güvenlik önlemlerini sadece kullanıcının girip gördüğü yerde değil tüm
her yerde almak daha faydalıdır.admin şifresini bulan bir kullanıcı admin sayfasına
gidip bir shell sokabilir.Siz o admin diye kontrol etmezseniz böyle olaylar olabilir.