Bu gün birlikte mantıksal ifadeler ile basit bir sayfa oluşturacağız.

içerisinde css olmayacak onu geniş kapsamlı olarak ayrıca başka makalelerde paylaşmış olacağım

hadi başlayalım o zaman ;

bir önceki makaleler de appserv kurulumunu yapmış oldugunuzu var  sayıyorum ve konuya giriyorum.

c:\appserv\www  klasorunde ornek diye bir klasor actım icerisine

index.php

kullanici.php

dosyasını oluşturdum.

index.php içeriğini sizinle paylaşıyorum

<html>
<head>
<title>Ornek 1</title>
</head>
<body>
<? if (isset($_GET['message'])){?>

<div style=”width:150px;height:160px;line-height:35px;padding:4px”>
<?=htmlspecialchars(urldecode($_GET['message']));?></div>
<? } ?>

<form action=”kullanici.php” method=”post”>

<table border=”0″ cellspacing=”0″ cellpadding=”5″>
<tr>
<td align=”center”>Kullanıcı Girişi</td>
</tr>
<tr>
<td align=”center”>Kullanıcı Ad : <input name=”user” type=”text”></td>
</tr>
<tr>
<td align=”center”>Parola : <input name=”pass” type=”password”></td>
</tr>
<tr>
<td align=”center”><input type=”submit” value=”Giriş yap”></td>
</tr>

</table>
</form>
</body>
</html>

Basit olarak index sayfamızı oluşturmuş olduk.

kullanıcı sayfamızı oluşturalım veri tabanı henüz anlatmadığım için şu an gündemimiz dışında ilerleyen makalelerde mysql ve diğer veri tabanları bağlantıları gerçekleştirip derslerimizde devam edeceğiz.

kullanici.php  içeriği :

<?

if (isset($_POST['user'])) && isset($_POST['pass'])) ){
$kadi = trim($_POST['user']);
$parola = trim($_POST['pass']);

}

$skadi = “admin”;

$sparola=”123″;

if ( ($kadi==$skadi ) && ($parola==$sparola) ){
echo ‘giriş yapıldı’;

}else{

header(‘Location:index.php?message=’.urlencode(‘Giriş yapılamadı. Kullanıcı adı yada şifrenizi kontrol ediniz.’));
exit;

}

?>

Bu gün değişken olaylarına ve mantıksal operatörlere değineceğiz.

PHP de değikenler ve Değişken Türleri : 

php de değişken oluşturmak için “$” ayıracını kullanıyoruz basit bir örnek vermek gerekirse.

değişken oluşturmada bazı kurallara dikkat edilmesi gerekilmektedir.

Sırayla değinmek gerekir ise değişkenler :

• Sayı ile başlayamazlar
• Sembol ile başlayamazlar
• Boşluk içeremezler
• Sembol içeremezler &%!,*

Tamsayı (Integer) : 5,124, 9834 gibi
Çift (Double): 3,567 gibi
Alfanümerik (String): “Emre123″ gibi
Mantıksal (Boolean): doğru (true)/yanlış (false) gibi
Nesne (Object)
Dizi (Array)

<?
// php de değişken oluşturma

$sayi = 1;

$kelime = ‘merhaba dünya’;

$sayfa = ‘index’;

?>

gördüğünüz gibi değişkenler yukarıdaki şekilde tanımladık ve “=” operatörü ile atamamızı gerçekleştirmiş olduk.

<?

// değişkenleri ekrana yazdırma

echo $sayi;

echo “<br>”; // html satır atlatma tag

echo $kelime;

?>

ile ekrana değişkenlerimizi yazdırmış olduk.

Mantıksa Operatörler 

&&   Anlamı  Ve
||      Anlamı  Veya
==   Anlamı   Eşittir
!       Anlamı   Değil
!=    Anlamı   Eşit değil
>      Anlamı   Büyüktür
<      Anlamı   Küçüktür
>=   Anlamı   Büyük ya da eşittir
<=   Anlamı   Küçük ya da eşittir

Örnekler ile Mantıksal Operatörler

<?php

 

////Örnek 1

$sayi1 = 1;

$sayi2 = 2;

if ($sayi1== 1){

//Sayı 1`e eşit ise yapılacak eylemler

}else{

// Sayı 1`e eşit değil ise yapılacak eylemler

}

////Örnek 2

if (  ($sayi1 == 1) || ($sayi2==2)   ){

//Sayı1 1`e eşit ise veya Sayı2 2`e eşit ise yapılacak eylemler

}else{

//Sayı1 1`e eşit değil ise veya Sayı2 2`e eşit değil ise yapılacak eylemler

}

///Örnek 3

if (! is_int($sayi1) ){

//Sayı1 integer değil ise yapılacak eylem

}else{

//Sayı1 integer ise yapılacak eylem

}

 

Malzelerimiz : )

Web server : internette bir çok web server bulabilirsiniz. Ben sizlere Appserv  tavsiye ediyorum içerisinde Apache Server , MYSQL Server ve PHPMyAdmin ile gelmektedir. ilerki makalelerde google dostu link olaylarında detaylı giriş yapacağız.
Notepad++ : Gelişmiş bir editör de kullanabilirsiniz ama notepad++ da güzel bir editördür
İnternet  : http://www.php.net/ e göz atmak için gerekebilir.

Appservi indirdikten sonra exe yi çalıştırdığınızda karşılaşacağınız ekranlar aşağıdaki gibidir.

Apache Ekranında Sunucu adınız localhost olarak kalsın yoksa kendinize iş çıkarmış olursunuz .

Mysql Server ekranında root parolanızı unutmayacağınız bir parola belirleyiniz. Veri tabanı işlemlerinde bu parola ile ayarlamalar yapacağız.

Karakter seti olarak UTF-8 iyidir şimdiden alışın bu şekilde de gitsin avantajı unicode olduğu için tüm dilleri destekler.

InnoDB kurmanıza gerek yoktur şu aşamada bir ihtiyacınız olmayacak innodb motoru transaction yapısı içerdiği için ileride tercih edebilirsiniz transaction ibaresi veri tabanına gönderdiğiniz veriyi geri çekmek yada yapılan işlemi iptal etme olarak da düşünebilirsiniz.

Örnek bir site yaptınız belirli bir süreden sonra yanlışlık ile tabloları yada veriyi uçurdunuz innoDb yapısı ile yapıldıysa işlemi geri alabilirsiniz.

Bu kısımları MYSQL dersinde detaylandıracağız.

Kurulumu Tamamladınız var sayıyorum.

web tarayıcınıza http://localhost yazdığınızda aşağıdaki ekran karşınıza gelecektir.

Dosyalarınızı C:\Appserv\www dizininin içerisine bir klasor atarak oluşturabilirsiniz.

çalışmalarınıza ulaşacağınız adres http://localhost/klasor_adı olacaktır.

Unutmadan söylemek istiyorum  Linux sistemlerde Harf duyarlılığı vardır gerekli ayarlamalar yapılmaz ise AAA ile aaa aynı kabul edilmemektedir.

Çalışmalarınızda dosya (resim dosyaları, linkler, dosya isimleri, vs) isimlerinizi küçük harf  olacak ve Türkçe harf barındırmayacak şekilde yapmanız hüsrana uğramamanızı sağlayacaktır.

notepad++ açarak

“merhaba dünya ” yazıp farklı kaydet ile c:/appserv/www/ klasor_adı içerisine index.php adı ile kaydetiniz.

http://localhost/klasor_adi yazdıgınızda tarayıcı da “merhaba dünya” yazdığını göreceksiniz hiçbir html tag kullanmadığımız halde

html bir tarayıcı dilidir normalde yazdıgımızı tarayıcının yorumlamaması gerekirken artık tüm tarayıcılar kendileri hataları kapatır oldugundan size salt metin hali gösterecektir.

Php yazmaya nasıl başlarız :

sunucumuzun istenen verinin işlenip işlenmeyeceğini anlaması için php için

belirli methotlar vardır. Bunlardan en yaygın olanı da aşağıdaki gibidir.

<?php     /////kodlar /////     ?>

<?php echo ‘Bu yazı PHP de derlendir’;?>

Başlıca Komutlar :

Echo : Ekrana yazdırma;
print : Ekrana yazdırma;
For , While , Do While, Foreach : Döngüler
IF , IF Else, Switch Case : Şart yapıları
include : Sayfa dahil etme

Yeni başlayanların en büyük sıkıntısı nerden başlayacaklarını bilememektedirler.

2006 yılından beri bir çok proje ve çalışma ortamında bir çok web yazılımı ile karşılaştığım yazılımlardan bahsederek sizlere yardım etmiş olacağım.

 Php Nedir : Php sunucu taraflı çalışan bir yazılım dilidir. Kim çıkarmış gibi soruları burada yanıtlamak anlamsız olacağını düşünüyorum okulda olsaydık ev ödevi olurdu bu soru kesinlikle

Neden Php : Çoğu insanın farklı sebepleri olabilir ama bana göre php olmasının en büyük sebebi esnek olmasıdır. Tabi açık kaynak oluşu da yapılan projelerde ekstra maliyetten kurtarmasıdır.
Maliyet olayına bazı okuyucularımız takılabilirler kafalarında soru işareti oluşabilir.  Şöyle düşünebilirsiniz olayı php Linux ile çalışabilmektedir ve Linux açık kaynak bir işletim sistemi olduğu için bazı sürümler harici lisans ücreti ödeme sorununuz olmamaktadır.
Bu yüzden En büyük tercihlerden birisi de bu diyebiliriz.

Serbest meslek

Türkiye’de serbest meslek tabiri literatüre daha çok belli bir işi olmayan, koşullara göre değişik işler yapabilen kişileri tarif etmek için kullanılabilmektedir.

Gelecekte internet üzerinden iş yerine gitmeden bilgisayar ortamında ofis içi yapılan işlerin artık iş yerine gelmeksizin yol ulaşımı için harcanılan zaman ve kaynak anlamıyla hem iş veren açısında maliyet düşmektedir.

İleride “Serbest meslek” çalışma koşullarını tanımlayan resmi yasaların çıkması öngörülmektedir. çünkü bir noktadan sonra meslekte verilen emeğin korunması anlamında Freelance çalışanların bile sendikalaşması ve yapılan işin ücret anlamında insan gücü maliyetini çok ucuz olarak değerlendirilmeside bir eleştiri konusudur.

Freelance olarak günümüzde en popüler işler internet mecrası kullanılarak yapılan çalışmalardır.

Güncel Fırsat Kimdir?

İyi Çalışmalar Dilerim

Pagerank değerlerinin sıfırlanma nedenini henüz bilen yok. Google resmi bloğunda mevzu hakkında herhangi bir açıklama falanda yapılmadı. Merak içerisinde beklemeye devam ediyoruz, inş geçici bir durumdur. PR değerlerinin sıfırlanmasında 3 neden olabilir diye düşünüyorum.

Sizinde bildiğiniz gibi dünyaca ünlü teknoloji devlerinden biri olan Apple’ın kurucusu Steve Jobs 06.10.2011 tarihinde sabaha karşı öldü ve google anasayfasına Steve Jobs 1955-2011 yazarak “www.apple.com” linkini ekledi. Tüm sitelerde yas tutulmasını sağlamak için yapılmış olabilir.

Uzun zamandır pagerank güncellemesi yapmayan google, yeni bir pagerank güncellemesini başlatmışta olabilir. Forumlarda google pagerank sistemi tamamen kaldırılacak, artık trustrank devri şeklinde konuşmalar yapılıyordu belki bununlada alakalı olabilir. Son zamanlarda pagerank değerlerini artırmak için hileler yapılıyordu. Google pagerank devrine tamamen son vermişte olabilir.

Popüler ticaret uygulaması osCommerce’i hedef alan bir saldırı, yaklaşık olarak 5 milyon web sayfasına bulaştı ve yüklediği kodlarla ziyaret eden kullanıcıların PC’sine bir zararlı yükleme girişiminde bulundu.

Mağaza yönetimi web uygulaması yazılımı osCommerce’in yamasız sürümünü kullanan web sitelerini hedef alan toplu saldırı, geçtiğimiz hafta hızla yayıldı. Saldırı, Armorize tarafından ilk olarak 24 Temmuz’da tespit edildiğinde Google arama sonuçlarına göre 91.000 sayfa etkilenmiş görünüyordu. Salı günü ise aynı arama sonuçları, yaklaşık 5 milyon sayfa döndürüyor.

Armorize’a göre en az üç osCommerce güvenlik açığını kullanan saldırı, Ukrayna’lı IP adreslerinin yamasız sitelere iframe enjekte etmesine izin veriyor. Bu iframe’ler ise ziyaretçileri sessiz sedasız willysy.com ve exero.eu adreslerinde bulunan zararlı dosyalara yönlendiriyor. Bu domain adları ise ziyaretçileri Windows açıklarını kullanan bir seri web sitesine yönlendiriyor.

Tehditlerin Belirlenmesi

Uygulama ayrıştırıldıktan sonra, her bir bileşen tehdit modelleme için potansiyel tehdit olarak ele alınır. Burada amaç herşeyin nasıl çalıştığını görmekten ziyade, uygulamanın bileşenlerini anlamak ve bu bileşenler arasında veri alışverişinin nasıl yapıldığını görmektir. Bileşenler genel olarak tehdit hedefleri olarak adlandırılır. Belirlenen tehditlerin azaltılması için öncelikle tehditlerin sınıflandırılması gerekmektedir. Bunun için STRIDE sınıflandırma modeli kullanılabilir. STRIDE modeli aşağıda belirtilmiştir:

• Kimlik Yanıltması (Spoofing Identity): Yanıltma tehditleri saldırganların başka bir kullanıcı gibi davranmaları ya da geçerli bir sunucu gibi davranarak diğer sunucuları yanıltma amacı güder. Kimlik yanıltmaya örnek olarak, yasa dışı olarak başka bir kullanıcının şifre ve kullanıcı ismi gibi gizli bilgilerine ulaşmayı ve bu bilgileri kullanmayı gösterebiliriz.
• Verinin Değiştirilmesi (Tampering with Data): Bu işlem verinin kötü niyetli bir şekilde değiştirilmesi manasına gelir. Internet üzerinden akan verinin değiştirilmesi buna örnek olarak gösterilebilir.
• Inkar (Repudiation): Bu tip tehditler, bazen saldırganın gerçekleştirdiği ama bunu inkâr edebileceği tehditler olarak görülür. Inkar tipi tehditler kredi kartı gibi işlemlerde kendini gösterir. Kullanıcı bazı alımlarda bulunur ve sonra yapmadığını iddia eder. Başka bir örnek de e-posta örneği olabilir. Size gelen bir maili, karşı taraf ben atmadım diye inkâra başvurabilir.
• Bilginin Açığa Çıkarılması (Information Disclosure): Bu tip tehditler, bazı bilgilerin onları görmemesi gereken kullanıcılar tarafından görünmesini kapsar. Örnek olarak, bir kullanıcının okumaması gereken bir dosyaya erişim hakkı olması ya da bir saldırganın ağ trafiğini dinleyip bazı bilgileri elde etmesidir.
• Hizmet Dışı Bırakma (Denial of Service): Hizmet dışı bırakma atakları sistemlerin kullanılmaz hale gelmesini sağlayan ataklardır. Web sunucusunun kullanılmaz hale gelmesi bu tip ataklara örnek olarak gösterilebilir. Sistemlerin güvenirliliği ve sürekliliği sağlamaları adına bu tip ataklara önlem almaları gerekmektedir.
• Yetki Kazanma (Elevation of Privilege): Bu tür ataklarda, yetkisiz bir kullanıcı sistemi kullanmak üzere yetki kazanır ve bütün sisteme zarar vermek ya da kontrolü altına almak için sisteme giriş yapar.

Bu sınıflandırmaya dayalı olarak, örnek satın alma uygulamasında örnek bir tehdit üzerinde durabiliriz. Bu tehdit Şekil 6′de gösterilmiştir. Burada dikkat edilmesi gereken husus, bir kullanıcının başka bir kullanıcıya ait sipariş bilgilerini görmemesi gerektiğidir. Öyleyse, bilginin çalınmasına ya da başka kullanıcılar tarafından görüntülenmesine engel olunmalıdır. Bu tehdit bilginin açığa çıkarılması tehdit grubuna örnek bir tehdittir. Bir saldırganın bu veriyi görmesinin birçok yolu olabilir. Fakat en basit haliyle, saldırgan ağ trafiğini, protokolleri analiz eden bir araçla dinliyor olabilir; ya da ağda bir yönlendiriciyi kontrol altına almış olabilir.

Şekil-6 Bir Tehdit Örneği

Tehdit Ağaçları: Tehdit ağaçlarının arkasındaki anafikir şudur: Bütün sistem tehdit hedeflerinden biraraya getirilmiş bir sistemler bütünüdür ve her tehdit hedefi bazı açıklıklara sahip olabilir. Bu açıklıklar da bütün sistemin saldırganlar tarafından kullanılması manasına gelebilir. Tehdit ağaçları, bir saldırganın sistemi elegeçirebilmek için izleyebileceği yolları çizen yapısal ağaçlardır. Uygulama ayrıştırması işlemi gerçekleştikten sonra, her bir bileşen için tehditlerin belirlenmesi süreci başlar. Tehditler belirlendikten sonra ise bu tehditlerin nasıl ortaya çıkabileceği tehdit ağaçlarıyla belirlenir. Yukarıda verilen tehdit örneği için, belirlenen tehdit ağacı  Şekil 7′deki gibi olabilir. Tehdit ağacının en başındaki kutu, tehdit kutusu olarak adlandırılır ve altındaki kutular tehditin gerçeklenmesi için gereken adımları temsil eder. Bu örnek tehditte, tehditin gerçellenmesi için, HTTP trafiği korumasız olmalı ve saldırgan trafiği dinliyor olmalı. Saldırganın trafiği dinlemesi için, ağ trafiğini dinliyor olması ya da yönlendirici üzerinden geçen veriyi dinliyor olması gerekir. Yönlendirici dinleme senaryosunun gerçek olması için, ya hedef yönlendirici korumasız olmalı ve kontrol altına alınması gerekiyor ya da yönlendiricinin şifresinin bilinmesi gerekiyor.

Tehditlerin Derecelendirilmesi

Tehdit ağaçları oluşturulduktan ve tehditler anlaşıldıktan sonra, belirlenen bu tehditlerin derecelendirmesi gerekmektedir. Derecelendirmeli amaç, öncelikle hangi tehdit üzerinde duracağımıza karar vermek ve bir sıralama oluşturmaktır. Uygulamamız için en büyük tehditin ilk önce giderilmesi mantıklı bir yaklaşım olacaktır. Derecelendirme yaparken bazı dercelendirme yöntemleri kullanılabilir. Bu derecelendirme yöntemlerinden DREAD adlı yöntemi örnek satın alma uygulamamız için kullanacağız.

DREAD

• Zarar Potansiyeli (Damage Potential): Tehdidin gerçekleşmesi durumunda, zarar ne kadar büyüklükte olacaktır. En kötü durum 10 ile gösterilebilecekken, en hafif durum 0 ile gösterilebilir. Yetki tehditleri genellikle 10 ile gösterilir. Tıbbi, mali, ya da askeri veri içeren uygulamalar içi zarar potansiyeli yüksek kabul edilir.
• Uygulanabilirlik (Reproducibility): Potansiyal bir saldırının başarıya ulaşma şansını belirlemeye çalışır. Belirli bir tehditin, saldırgan için başarılı bir saldırı olma kolaylığının incelenmesini ön görür.
• Sömürülebilirlik (Exploitability): Bu tehdit kapsamında bir atağı gerçellemek için ne kadar tecrübe ve çaba gerekmektedir. Örneğin, acemi bir kullanıcı, normal ev bilgisayarı ile tehdite bir atak uyguluyabiliyorsa bu ciddi bir durumdur ve bu tehdit sömürülebilirlik manasında 10 alabilir.
• Etkilenen Kullanıcılar (Affected User): Eğer bu tehdit bir saldırıya dönüştürülür ve saldırı başarılı olursa ne kadar kullanıcının bundan zarar göreceği araştırılır. Mesela, bir sunucuyla alakalı bir tehdit, birçok kişiyi ilgilendireceğinden yüksek önem arz eder.
• Keşfedilebilirlik (Discoverability): Açıklığın kolay ya da zor bulunabileceğinin ya da keşfedilebileceğinin değerlendirmesi yapılır.

Bu değerlendirme kriterine göre, yukarıda verdiğimiz örnek tehdidin değerlendirmesi şu şekilde olabilir:

Tehdit #1: Kasıtlı kullanıcı başka bir kullanıcının sipariş bilgilerini ağ üzerinden dinler.

8 Zarar Potansiyali: Başkasının gizli sipariş bilgilerini okuyabilmek ciddi bir sorun.

10 Uygulanabilirlik: Tamamen uygulanabilir.

7 Sömürülebilirlik: Ağ üzerinde yer edinmeli ve ağı dinlemeli.

10 Etkilenen Kullanıcılar: Yöneticiler dâhil herkes etkilenebilir.

10 Keşfedilebilirlik: Bu açıklığın kolayca bulunacağını varsayalım.

DREAD ile ölçülen risk oranı = (8+10+7+10+10)/5 = 9

Tehditlerin Azaltılması

Tehditler belirlendikten ve önem sırasına göre sıralandıktan sonra her tehdit için ne yapılması gerektiği kararlaştırılmalı. Bu karar dört farklı şekilde olabilir:

1. Herhangi bir tedbir almama: Bu yöntem genellikle doğru olmayan bir yöntemdir. En sonunda uygulamanın içerisindeki bu açıklık başınızı ağrıtabilir ve önlem almak zorunda kalabilirsiniz. Daha sonradan alacağınız önlem çok daha pahalıya size mal olabilir.
2. Kullanıcıyı uyar: Diğer bir yol ise, kullanıcının bu hususta bilgilendirilmesi ve uygulamanın o özelliğini kullanıp kullanmayacağının kendisine bırakılmasıdır. Buna örnek olarak Microsoft Internet Bilgi Servisi (IIS) verilebilir. Bu sistem, yöneticiyi eğer SSL/TLS kullanmazsa kullanıcı bilgilerinin şifresiz bir şekilde ağda gezeceğini belirtir. Bu yöntem de birçok durumda problemli bir yöntemdir. Kullanıcıların çoğu nasıl seçim yapacaklarını bilmezler. Aslında çoğu zaman, kullanıcının karşısına çıkarılan seçenek, kullanıcı için anlaşılması zor bir seçenektir. Diğer bir durum ise, kullanıcılar genellikle hazır ayarları kabul ederler ya da uyarıları görmezden gelirler.
3. Problemi ortadan kaldır: Problemi çözmek için yeterli zamanınız yoksa kısaca tehdit altında olduğunu düşündüğünüz özelliğe sahip parçayı sistemden çıkarmanız yeterlidir.
4. Problemi çöz: En kesin ve gerçekçi çözüm budur. Teknolojiyi kullanarak, problemi azaltma ya da tamamen çözme yoluna gidilmelidir. Bu yöntem aynı zamanda en zor yöntemdir. Tasarımcılar, geliştiriciler, testçiler ve güvenlik ekibi için daha fazla iş yükü ve daha fazla maliyet demektir.

Şekil 8′de örnek satın alma uygulaması için olabilecek tehditler ve bu tehditlerin azaltılma yolları gösterilmiştir.

Şekil-8 Örnek Satın Alma Uygulamasındaki Tehditlerin Çözüm Yolları

Alıntıdır : Abdulkadir Poşul, TUBİTAK-UEKAE