Diye girdi denetim kontrolleri her katmanda ayri ayri olarak gerceklestirildi, bu durumda girdiyle ilgili olarak mesela bir aralik kontrolu yapan validasyon kodunu her modulde ayri ayri olarak gerceklestirmek gerekmeyecek mi? 
<br><br>
<div><span class="gmail_quote">2007/5/25, volkan uzun &lt;<a href="mailto:vuzun@csusb.edu">vuzun@csusb.edu</a>&gt;:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div lang="EN-US" vlink="blue" link="blue">
<div>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Konunun basini belki biraz kacirdigim icin alakasiz olabilir </span></font><font face="Wingdings" color="navy" size="2">
<span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Wingdings">J</span></font><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"></span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Ben girdinin her asamada kontrolunden yanayim, cunku girdinin ilk alindigi ( diyelim ki kullanici webden giris yapti ), ortamdan son asamaya dek her zaman ayni programci yazmiyor.
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Mesela; ben business katmanindaki kodu yaziyorsam; maalesef ui tarafini yazip; benim siniflarima istekte bulunacak programciya guvenemem herseyi kontrol etmis mi diye; hatta ve hatta test gruplarinin test islemlerinde aciklari bulmasina da guvenemem, benim yapmam gereken yazdigim her module gelecek girdinin sanki sistemi bozmaya calisacak bir kullaniciya ait oldugunu dusunmek; ve ona gore onlem almak olmali.
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Butun modulleri ayni programci yazsa bile gene her asamada kontrolden yanayim </span></font><font face="Wingdings" color="navy" size="2">
<span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Wingdings">J</span></font><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> cunku bu seferde ileride kodun bakimini, optimizasyonunu yapacak kisinin napacagina guvenemem, bir modulu bozup farkinda olmayarak diger module denetimsiz parametre yollayabilir.
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p>
<div>
<div style="TEXT-ALIGN: center" align="center"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">
<hr align="center" width="100%" size="3">
</span></font></div>
<p><b><font face="Tahoma" size="2"><span style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</span></font></b><font face="Tahoma" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">
owasp-turkey-bounces@lists.owasp.org</a> [mailto:<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">owasp-turkey-bounces@lists.owasp.org</a>] <b><span style="FONT-WEIGHT: bold">
On Behalf Of </span></b>Bunyamin DEMIR<br><b><span style="FONT-WEIGHT: bold">Sent:</span></b> Friday, May 25, 2007 9:26 AM<br><b><span style="FONT-WEIGHT: bold">To:</span></b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:burak.dayioglu@pro-g.com.tr" target="_blank">
burak.dayioglu@pro-g.com.tr</a>; Ferruh Mavituna; Bedirhan Urgun<br><b><span style="FONT-WEIGHT: bold">Cc:</span></b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-turkey@lists.owasp.org" target="_blank">
owasp-turkey@lists.owasp.org</a><span class="q"><br><b><span style="FONT-WEIGHT: bold">Subject:</span></b> Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]</span></span></font></p></div>
<p><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></p>
<div><span class="e" id="q_112c4202031ffb4e_3">
<p style="MARGIN-BOTTOM: 12pt"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Şimdi herkes &quot;girdi denetimi&quot; konusunda mutabık. Hatta ilk &quot;iyi programlama&quot; konulu kitaplar bile bundan bahsetti diyoruz. Zaten burasına kimsenin takıldığı yok. Mevzu denetimin hangi aşamada başlaması? Hangi aşamada yoğulaşması? Hangi aşamada bitmesi? 
<br><br>Dayatma olmasın tabide.. İzlediğim yolu belirteyim. <br><br>Genelde temel kontrolleri en başta yaparım. Yani bir kullanıcını kredi kartı numarası girmiş ise onu aldığım yerde denetlerim. Fakat bir fonksiyon çağırılacaksa. Onu çağıran parametreyi fonksiyonun çağrıldığı yerde-dosyasında denetlerim. 
<br><br>Örneğin,<br><br>Sisteme login olduk. Kullanıcı adı şifre denetlenmesinden geçtik. İçeride bir linke bastığımızda (listele).&nbsp; Giden parametre çağrıldığı yerde zaten biliniyor. Biraz daha açayım. Bu sayfaya gelen talepler ancak ve ancak &quot;listele,goster&quot; olabilir onun dışında gelen her türlü parametreyi salla gitsin. Bu birazda güvenlik kontrolünü parçalara yaymaya yarıyor. Gerçi ilk etapta girdinin kontrolüne daha yakın bir plan. 
<br><br>Umarım anlatabilmişimdir:)<br><br><br><br></span></font></p>
<div>
<p><span><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">25.05.2007 tarihinde <b><span style="FONT-WEIGHT: bold">Burak DAYIOGLU</span></b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:burak.dayioglu@pro-g.com.tr" target="_blank">
burak.dayioglu@pro-g.com.tr </a>&gt; yazmış:</span></font></span></p>
<p><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:<br>&gt;&nbsp;&nbsp;neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama <br>&gt; giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
<br>&gt; denetim gerekli sonra da cikti denetimi (html encode, url encode,<br>&gt; canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim<br>&gt; yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben<br>&gt; dellenirim... :)
<br>&gt;&nbsp;&nbsp;bedirhan<br><br>&quot;Dellenecek&quot; bir sey yok. Butun &quot;iyi programlama&quot; kitaplari saglam<br>programlama (robust programming) icin beklenmedik <br>parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
<br>coook once bile yazilmis &quot;nasil iyi yazarsiniz&quot; kitaplarinin hemen<br>hepsinde bu var... :)<br><br>sevgiler.<br>-burak &quot;muhalif&quot; dayioglu <br><br>_______________________________________________<br>
Owasp-turkey mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">
https://lists.owasp.org/mailman/listinfo/owasp-turkey</a></span></font></p></div>
<p><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"><br><br clear="all"><br>-- <br>Bunyamin Demir<br>OWASP-Turkey Chair<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.webguvenligi.org/" target="_blank">
http://www.webguvenligi.org</a> </span></font></p></span></div></div></div><br>_______________________________________________<br>Owasp-turkey mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-turkey@lists.owasp.org">
Owasp-turkey@lists.owasp.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey
</a><br><br></blockquote></div><br>