Gastrit ve Sarı Kantaron

Midem yaklaşık 16 yıldır rahatsızdı. Geçmiş zaman kullanmak ne güzel bu konuda. RahatsızDI diyebiliyorum. Sürekli mide asidi dengeleyici Talcid türü ilaçlar kullanıyordum. Sonradan bunların böbrekte taş yapma riski olduğunu da yaşayarak öğrendim. 2008 gibi artık yanma ve ağrı ile baş edemeyince Erciyes Üniversitesinde endoskopi oldum. O dönem Prof. Dr. Kadri Güven hocamız helikobakter tedavisi uyguladı. Günde üç antibiyotik kullanmak insani gerçekten çok yoruyor. Emin olmamakla birlikte internetten okuduğum kaynaklarda artık daha güçlü antibiyotikler gerektiği yazıyor. Yani bu bakteri dayanıklılık kazanarak güçlenmiş durumda. Zaten herkeste bulunan ama miktarı yüksek olduğunda sorun yaşatan bir bakteri bu. Sonunda daha iyi oldum ve yıllarca işler yolunda gitti.

Gel zaman git zaman geçen sene Eskişehir’de artık sabahları kanlı balgam ve aynı mide yanmaları baş gösterdi. Yoğun bir stres ve çalışma dönemi daha yaşıyordum. Stres maalesef dehliz gibi içine girdikçe daha da katlanarak büyüyen bir sorun. Midem yine isyan etmişti. O dönem beni brokoli kaynatıp hem kendisini hem suyunu tüketmek çok rahatlattı. Fakat Aprozol gibi proton inhibitörü ilaçlar da kullanmak istemiyordum. Yine Talcid benzeri Gastrol isimli asit düzenleyiciyi denedim ama yine verim alamadım. Artık yemekleri bile düzgün yiyemiyordum. Konuyu sonra tekrar doktora danıştım.

Doktorun isteği ile Osmangazi Üniversitesinde tekrar endoskopi oldum. Sonuçta helikobakter tekrar çıkmadı. Fakat gastritin kontrol altında tutulması için sürekli olarak Nexium kullanmam tavsiye edildi. Bunun bir süresi yoktu. Gerekirse ömür boyu kullanacaktım. Böyle bir tedavi yöntemini benim mantığım açıkcası almadı. Bir yandan çok nadiren de olsa nexium kullanıp, diğer yandan başka yollar aramaya başladım.

Internette bitkisel çözümleri araştırırken sarı kantaron yağı tavsiyelerini buldum. Başka bir çok şey denediğim için bunu da denemekte bir sakınca görmedim. Zaten daha önce de sarı ve kırmızı kantaronun yaraları iyileştirdiğini biliyordum, denemiştim. Tıpkı çay ağacı yağı gibi etkililer. Fakat deri dışında içerek kullanmayı hiç düşünmemiştim.

Yağları araştırınca iyiden iyiye anladım ki bu tür yağların sağlıklı üretimi pek kolay değil. Çok eskiden, taa ilkokuldan arkadaşım Mehmet Emin bu işlerden biraz anlar. Hatta mantarlardan falan da anlar. Ona sorup bu işi yapan firmalardan Dr. Yılmaz İlaç firmasını ve sarı kantaron ürününü keşfettim.

Açıkcası memlekette Kayseri olunca ilgimi daha çok çekti. Klasik aktarlardaki türden bir yağ geleceğini düşünürken, gelen ürün ve ambalaj kalitesi beni hayrete düşürdü. Her sabah aç karnıma kahvaltıdan bir yarım saat önce 1 çay kaşığı kadar kullandım. İlk hafta tüm şikayetlerim bitti. Nexiumu biraz çekinerek de olsa bıraktım.

Şikayetlerim kısa sürede bitti. Geçen 8 ay içinde de bir sorun yaşamadım. Sadece bir şişe bitirmiştim. Tekrar stresli dönemler yaşar veya sorun nüksederse diye yedekte bir sarı kantaron yağı yine tutuyorum. Psikolojik olarak da rahatlatıcı etkisi var. Bana açıkcası ilaç tüketmekten çok daha etkili ve mantıklı geliyor.

Fakat sarı kantaronda kalite de önemli. Zira yol kenarından toplanacak kantaronlar egzoz dumanları vb. yüzünden yapıları gereği kadmiyum maddesi biriktiriyorlarmış. Yani ciddi bir üretim ve hatta yetiştirme süreci gerekiyor.

Bu yazıyı kimseye şunu ilaç yerine kullanın diye yazmıyorum. Sizde sarı kantaron ne etki verir, başka ne tür rahatsızlıklarınız vardır bilemem. Bu yüzden böyle bir karar alırsanız mutlaka doktorunuza danışın. En iyisini muhtemelen ne siz ne ben bilebilirim. Bizimkiler genellenemeyecek kişisel sağlık tecrübeleridir.

Hepinize geçmiş olsun…

——————————————–

23 mayis 2018

Aylar sonra not dusme geregi duydum. Bu yazi biraz populer oldu ve insanlar nasil kullanacagini vs. soruyor. Oncelikle belirteyim, Dr. Yilmaz’i hayatimda gormedim, tanimam kendisini. Yani bu yazi bir reklam falan degil. Onu taniyan bir arkadasim araciligi ile kendisinden tavsiye aldim ve firmasindan yagi alip kullandim. Piyasada bunlar ilac olarak satilmiyor zannediyorum ya da oyle teleffuz edilemiyor. Zaten bence oyle de degiller. Ilac baska bir sey. Fakat bunun anlami yaglar etkisizdir veya ne kadar kullanirsan kullan zararsizdir demek hic degil. Ornegin cay agaci yagi cildi cok ciddi tahris edebilecek guctedir. Bu tur nedenlerden bana sari kantaron nasil kullanilir sormak yerine tavsiyem firma ile iletisime gecmeniz veya bu isi bilenlere sormaniz. Sonucta doktor degilim ve boy, kilo, yas ve varsa diger hastaliklarda hangi ilac en etki eder bilemeyecegim gibi bu bitkisel yaglar da ne yapar bilemem. Sizin durumunuzun neden kaynaklandigini da bilemem. Ornegin ben kola ve sigara kullanmam, belki siz kullaniyorsunuz. O yuzden tavsiyeleri daha yetkin kimselerden istemenizi soyleyecegim.

Ayrica gastritle ilgili fayda gorulecek bir diger hususun saglam bir diet oldugunu hatirlatirim. Benim tecrubeme gore haslama patates ve haslama tavuktan olusan menu mideyi oldukca rahatlatiyor. Hsalama brokoli-havuc-karnibahar uclusu de sonbahar sonundan bahar ortasina kadar bulunabilir sebzeler. Sonrasinda okudugum ama denemedigim cilek olasi ulser hastaligi icin cok faydali da deniliyor.

Sporunuz eksik olmasin, tekrar stessiz, saglikli gunler dilerim.

Sunucu Güvenliği : Apache temel ayarları

Bir takım saldırı türlerini ( xss, csrf, sql injection ) ve bunlardan sunucu ve kodlar üzerinde yapacağımız ayarlarla nasıl kurtulabileceğimizi anlattım. Şimdi biraz apache ayarlarına değinelim.

Apache2 için ayarlar ubuntu server kurulumlarında /etc/apache2/apache.conf dosyasında saklanıyor. Bu dosyaya tıpkı PHP’de olduğu gibi (require, include komutlari) başka dosyaları cağarak aktifleştirebiliyorsunuz.

Güvenlik amaçlı ayarlar konusunda ilk olarak saldırganlara ipucu vermemek adına apache sürümünü gizleyelim. Apache sürümünü gizleme işini bence arama motorlarının crawler programları dahil kimseyi ilgilendirmediği için tüm virtualhostlarda gizlemeliyiz.

Bunun için;

dosyasında;

satırlarını girmelisiniz. Benzer satırlar zaten varsa bu şekilde güncelleyin. Bu da arama motorlarında belirli bir apache sürümünü arayan saldırgandan kurtulmanız demek. İlk komut dizin listelemeleri ve hata gösterimlerinde apache sürümünü gizleyecek. İkincisi dosyaların header bilgileri içinde sürümsüz olarak sadece apache sunucu kullanıldığını belirtecek.

Apache dokümanlarında TraceEnable özelliği hakkında güvenlik açığı değildir yazmakta. Fakat aynı zamanda HTTP 1.1 belirtimine ait bir özellik olduğunu söylemekteler. Yani eski bir HTTP protokolünde yazılmıştır. Ayrıca HTTPOnly ile XSS ataklarına karşı güvenli hale getirmeye calıştığımız cookie bilgilerinin riske edebilir. Bu yüzden kapatılması iyi bir fikirdir.

Zaman aşımı apachede önemli bir kritere dönüşebilir. Sık ziyaret edilen ve cache ile sunulan bir sayfada kullanıcının dakikalarca beklemeyeceğini varsayarız. Apache ise bunu 300 saniyeye default olarak ayarlamıştır. 5 dakika uzun olduğu ve DoS ataklarını da düşünerek 45 saniye yapmak mantıklıdır.

Apache haliyle bir sunucu ve isteklere cevap vermeye çalışıyor. Çalışıyor diyorum, çünkü bazı isteklere direkt olarak hata dönderirken bazılarını zaman aşımı kapsamında askıda tutarak veri alışverişi bitene kadar sistem kaynaklarını meşgul ediyor. İşte bu noktada sunucuların alıp vermesi gereken verinin miktarini tam bilmesekte buna limit koymakta fayda var.

Bu sayede apache için sınırız olarak ayarlanmış bu kısım artık limitlenir ki emin olun cok mantıklı. Bu şekilde yaklaşık 1 megabyte ile sınırlama yaparsınız.

Bu noktada PHP kullanıcıları php.ini ile bunun yapılabildigini bilir. Fakat php.ini ile yapilacak ayar birden çok dille çalışan apache ile yapılan genel ayardan haliyle farklı olacak, PHP kapsamında kalacaktır. Yine bu ayarı PHP’yi apache dışından kullanıyorsanız php.ini içinden yaparsınız. Buna genelde cpanelde vb panellerde rastlanıyor.

Bu ayarları apache.conf dosyasında ekledikten veya güncelledikten sonra apache restart etmeyi unutmayın.

Bu ayarlar dışında ubuntuda bir indeks dosyası konulmamış dizinler icin apache otomatik listelemesini iptal etmek mantıklıdır. Dosya listesini saldırgana göstermek kullandığımız framework, kütüphaneler vb. bilgiler hakkında saldırganı bilgilendirmek demektir.

komutunu terminalde  kullanarak autoindex özelliğini kapatın.

Temel olarak yapılabilecek basit ayarlara değindik. Bir dahaki sefer OWASP güvenlik kriterleri ve mod_security ile ilgili yazacağım.

Herkese iyi çalışmalar.

Sunucu Güvenliği : SQL Injection

Adı üzerinde SQL enjeksiyonu. Kelime bence tam olarak oturmuyor ama konuyu terimsellestirmek için yazılmış. Sanki SQL’e bir virüs enjekte ediliyor gibi bir anlam çıkartıyor insan ilk duyduğunda. Oysa tam olarak SQL’e SQL enjekte edilerek yapılıyor bu saldırı.

Diyelim ki bir kullanıcı giriş formunuz var. Bu formda haliyle kullanıcı adı, şifre ve CSRF ataklarini onlemek için kullandığınız captcha değerini alıyorsunuz. Hatta SSL güveliği tam olarak kapsıyor sitenizi ve XSS saldırılarından korunmak ile ilgili tüm tedbirleri de aldınız. Fakat hala acemice/dikkatsizce yazılmış bir kodunuz varsa veya çok eski bir php4 ya da php5 kodu çalıştırıyorsanız bir açığınız olabilir. SQL kodlarının bir enjeksiyon denemesi ile tamamlanarak veritabanı sorgularınızın bozulup bozulamayacağını bilmiyorsunuz. Örnek verirsek;

gibi bir formunuz var diyelim. Normalde bu kisimdaki beklentiniz kullanici adi kismina kullanici adi ya da eposta yazilmasi. Sizin de bunu PHP gelistiricilerinin coktandir tavsiye etmedigi ama hala pek cok eski kitapta yer alan mysql_* fonksiyonlari ile kontrol ettiginizi dusunelim. Basitlestirince soyle bir sorgunuz var demek oluyor;

Bu sorgu yaptigi kontrolde username alani yerine peki bu kod gelirse ne olacak;

Sorgumuz bu durumda kullanici adi bos veya 1=1 ise anlamina geldi. Bu şekilde saldırgan sadece bu alanı değil aynı zamanda captcha ya da parola alanlarını da kullanabilir. Yani tüm sorguyu istediği hale getirebilir. PHP geliştiricileri bu noktada önceden kendi classlarini kullanarak tek tırnak veya çift tırnak gibi karakterleri regex filtreleri ile temizliyorlardı. Addslashess, mysql_real_escape_string gibi bazı fonksiyonlar kullanılıyordu. Fakat bu yeni PHP versiyonlarında mysql driverlerin yerini mysqli ve PDO aldığı zaman değişti.

Örneğin bir PDO baglantısında dışardan aldığınız verileri için sorgunuzu şu şekilde hazirladığınızda SQL injection riskiniz ortadan kalkıyor.

Ayni şekilde ( ben bu noktada PDO kullanmanizi tavsiye ettigim icin mysqli sorgusunu sona koyuyorum ) mysqli için de bunun bir yolu var.

Bu noktada güvenliğin bir maliyeti oldugunu da söylemek gerek. Mysqli performansi %1-5 arası sorguya gore mysql_* ile karsılaştırıldığında düşebiliyor. Fakat zaten mysql_* için yazılacak veya kullanılacak kodların da performansa etkisi olacağı için bunu görmezden gelebiliriz.

Bu yazıda SQL Injection ile ilgili örnekler vermiş oldum. Bunu kendi kodunuza uyarlayarak güvenliği arttırabilirsiniz. Zaten artık mysql_* yeni PHP sürümlerinde kullanılmayacak. Fakat injection mantığını öğrenmek, özellikle kullanıcıdan gelen veriye güvenmemek refleksinizi korumalısınız.

Herkese iyi çalışmalar…

Guncelleme (15 Ekim 2017):

Bir de SQL Injection icin sunucu ayarlari kapsaminda alinabilecek bir tedbir var. Apache modullerinden security modulu ile SQL Injection aciklarinin onune gecilebiliyor. Bunun icin modulu sonradan kurmaniz gerekiyor cunku default kurulumda gelmiyor. Ayrica bu konu icin bir yazi yazacagim.