Sql Injection'a Karşı Koruma !

hitix · 7 Temmuz 2010

Arkadaşlar merhaba
Sql injection için bir koruma düzeni hazırladım fakat sisteme adapte edemedim.

Guvenlik.Asp dosyasının içeriği

PHP:

<%
Function Temizle(strVeri)

'|======================================
'| SQL Injection'dan Korunma Fonksiyonu
'| mydesign a.k.a doronty37
'| http://www.mydesign.gen.tr
'| [email protected]
'|======================================

      '// Eğer Değişken Boşsa Fonksiyondan Çıkılıyor
     If strVeri = "" Then Exit Function

      '// Zararlı Kodlar Burada Ayıklanıyor
     strVeri = Replace(strVeri, "<", "<")
     strVeri = Replace(strVeri, ">", ">")
     strVeri = Replace(strVeri, "[", "[")
     strVeri = Replace(strVeri, "]", "]")
     strVeri = Replace(strVeri, """", "", 1, -1, 1)
     strVeri = Replace(strVeri, "=", "=", 1, -1, 1)
     strVeri = Replace(strVeri, "'", "''", 1, -1, 1)
     strVeri = Replace(strVeri, "select", "select", 1, -1, 1)
     strVeri = Replace(strVeri, "join", "join", 1, -1, 1)
     strVeri = Replace(strVeri, "union", "union", 1, -1, 1)
     strVeri = Replace(strVeri, "where", "where", 1, -1, 1)
     strVeri = Replace(strVeri, "insert", "insert", 1, -1, 1)
     strVeri = Replace(strVeri, "delete", "delete", 1, -1, 1)
     strVeri = Replace(strVeri, "update", "update", 1, -1, 1)
     strVeri = Replace(strVeri, "like", "like", 1, -1, 1)
     strVeri = Replace(strVeri, "drop", "drop", 1, -1, 1)
     strVeri = Replace(strVeri, "create", "create", 1, -1, 1)
     strVeri = Replace(strVeri, "modify", "modify", 1, -1, 1)
     strVeri = Replace(strVeri, "rename", "rename", 1, -1, 1)
     strVeri = Replace(strVeri, "alter", "alter", 1, -1, 1)
     strVeri = Replace(strVeri, "cast", "cast", 1, -1, 1)

     Temizle = strVeri

End Function
%>

Ve bunu login_verify dosyasında kullanmak istiyorum.
login_verify dosyasının içeriği

PHP:

<!--#include file="variables.asp"-->

<!--#include file="guvenlik.asp"-->

<%'Check if the login and password exist. If yes then login otherwise error.
open_recordset	rs_getAdmin,"select * from admin where login = '"&request.form("login")&"' and password = '"&request.form("password")&"' " 

if rs_getAdmin.eof then
	open_recordset	rs_getInfo,"select active,id,pending from members where login = '"&request.form("login")&"' and password = '"&request.form("password")&"' " 
	if not rs_getInfo.eof then 
		if rs_getInfo("pending") <> true then
			session("userid") = rs_getInfo("id")
			response.redirect "index.asp"
		else
			response.redirect "login.asp?error=2"
		end if
	else
		response.redirect "login.asp?error=1"
	end if
	rs_getInfo.close
	set rs_getInfo = nothing
else	
	session("admin") = "1"
	response.redirect "admin.asp"
end if

rs_getAdmin.close
set rs_getAdmin = nothing

conn.close
set conn = nothing%>

Bir türlü adapte edemedim. Yardımcı olursanız çok sevinirim. Şimdiden teşekkürler.

TLG · 8 Temmuz 2010

Bu soruyu bir yerden daha hatırlıyorum ya.

Request. le başlayan her yere Temizle diye başlayın. Ör;

Temizle(request.form("input"))

MikMoNo · 19 Ağustos 2010

yapman gereken strVeri verisine atanmış olan değiştirme değerlerini formundan gelen requeste bağlamak. Bunun içinde request.form("login") ve request.form("password") kullandıgımız yerleri strVeri(request.form("login")) ve strVeri(request.form("password")) olarak değiştirmek...

Sql Injection'a Karşı Koruma !

hitix

0

TLG

0

MikMoNo

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5