Performans dert degil de bence iki defa yapilan encoding / escaping / quoting dert. Ek olarak birden cok ve farkli yapilan bu islemlerde direk baska guvenlik aciklarina neden olabiliyor. Nitekim bughtraq cok fazla olmasa da bu duruma uygun guzel ornekler var.
<br><br><div><span class="gmail_quote">On 25/05/07, <b class="gmail_sendername">Bedirhan Urgun</b> &lt;<a href="mailto:urgunb@hotmail.com">urgunb@hotmail.com</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">




<div><span class="q">&nbsp;<br>
&gt;(ii) kod icerisindeki tum metod ya da fonksiyonlarin kendi girdilerini<br>&gt;de &quot;dis kaynaklardan geliyormuscasina&quot; pozitif kontrol listeleri ile<br>&gt;sinamalari<br>
&nbsp;<br></span>
Dis kaynaklardan geliyormuscasina, her fonksiyonda denetim yapmak trust boundary (sizinde&nbsp;bildiginiz&nbsp;McGraw bundan bahsediyor) kavramina pek uymuyor gibi. Yani guvendigim bir cember (daire) olusturamayacaksam preformans duser ve kod yazmak cok zorlasir gibi geliyor. Bunun icin dellenmek kelimesini kullandim, yoksa normal bir gelistiriciden kat kat fazla paranoyagimdir.
<br><span class="sg">
&nbsp;<br>
bedirhan<br></span><span class="ad"><br><br><br><br><br>

<hr>
<br>
&gt; Subject: RE: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]<br>&gt; From: <a href="mailto:burak.dayioglu@pro-g.com.tr" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">burak.dayioglu@pro-g.com.tr
</a><br>&gt; To: <a href="mailto:urgunb@hotmail.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">urgunb@hotmail.com</a><br>&gt; CC: <a href="mailto:ferruh@mavituna.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
ferruh@mavituna.com</a>; <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">owasp-turkey@lists.owasp.org</a><br>&gt; Date: Fri, 25 May 2007 19:21:12 +0300</span>
<span class="q"><br>&gt; <br>&gt; On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:<br>&gt; &gt; neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama<br>&gt; &gt; giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
<br>&gt; &gt; denetim gerekli sonra da cikti denetimi (html encode, url encode,<br>&gt; &gt; canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim<br>&gt; &gt; yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
<br>&gt; &gt; dellenirim... :)<br>&gt; &gt; bedirhan<br>&gt; <br>&gt; &quot;Dellenecek&quot; bir sey yok. Butun &quot;iyi programlama&quot; kitaplari saglam<br>&gt; programlama (robust programming) icin beklenmedik<br>&gt; parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
<br>&gt; coook once bile yazilmis &quot;nasil iyi yazarsiniz&quot; kitaplarinin hemen<br>&gt; hepsinde bu var... :)<br>&gt; <br>&gt; sevgiler.<br>&gt; -burak &quot;muhalif&quot; dayioglu<br>&gt; <br><br><br></span><span class="q">
<hr>Change is good. See what's different about Windows Live Hotmail.  <a href="http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&amp;ocid=RMT_TAGLM_HMWL_reten_changegood_0507%0A%0A" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
Check it out!</a></span></div>
</blockquote></div><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com">http://ferruh.mavituna.com</a>