İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

Sql injeksiyon dedikleri benim başıma gelir mi ?

H

hakanizm

0
İyinet Üyesi
Katılım
11 Mayıs 2006
Mesajlar
1,952
Reaction score
1
Konum
Nereye
Bütün sorgularımı aşağıdaki gibi yapıyorum. Yani sanırım stored prosedure kullanmıyorum. Aşağıdaki normal aspx dosyası içerisinde kullandığım komutlar sql injeksiyon açığı mıdır ? Sitemi hekleyebilirler mi ?

PortakalSelect = New SqlCommand("Select Bresim, HaberId, ArsivTarihi, KategoriId, Kategoriler, Yazi, Rate, SUBSTRING(Baslik, 1, 60) as SPORTekBaslikTmp From items WHERE ArsivTarihi=(SELECT ogun FROM online) And KategoriId = 4 ORDER by Baslik", Portakalcon)
 
F

fan

0
İyinet Üyesi
Katılım
4 Şubat 2007
Mesajlar
663
Reaction score
0
Konum
Nereye
sqle dışardan veri almıyosunki bişey olsun :)
 
H

hakanizm

0
İyinet Üyesi
Katılım
11 Mayıs 2006
Mesajlar
1,952
Reaction score
1
Konum
Nereye
dışarıdan veri almaktan kastettiğin şey tam olarak nedir ?
başka bir siteden xml falan çekmek gibi birşey mi ?
 
A

acemiyim

0
İyinet Üyesi
Katılım
11 Mart 2008
Mesajlar
20
Reaction score
0
hayır querystring veya form üzerinden veri almaktan bahsediyor.
 
H

hakanizm

0
İyinet Üyesi
Katılım
11 Mayıs 2006
Mesajlar
1,952
Reaction score
1
Konum
Nereye
Ben şimdi .aspx dosyamda aşağıdaki kodları da kullanıyorum. Bahsettiğiniz şey yoksa bu kodları kullanmak mı oluyor ?

GelenKatAd = Request.QueryString("KatAd")
GelenKatId = Request.QueryString("KatId")
GelenTarih = Request.QueryString("Tarih")
 
F

fan

0
İyinet Üyesi
Katılım
4 Şubat 2007
Mesajlar
663
Reaction score
0
Konum
Nereye
evet o bilgileri ziyaretçilerden alıyorsan filtre uygulaman gerekli zararlı kodları engellemek için.
 
L

local

0
İyinet Üyesi
Katılım
13 Ocak 2008
Mesajlar
38
Reaction score
0
GelenKatId = cint(Request.QueryString("KatId")) bu şekilde önleyebilirsin.
 
H

hakanizm

0
İyinet Üyesi
Katılım
11 Mayıs 2006
Mesajlar
1,952
Reaction score
1
Konum
Nereye
Local Hay Allah senden Razı Olsun... Yani bu kadar kolay önlemek :) Birisi baya bi kod yazmıştı başka bir yerde moralim bozulmuştu :)
 
O

Ozcan

0
İyinet Üyesi
Katılım
12 Mayıs 2007
Mesajlar
3,749
Reaction score
59
Konum
Antalya
Bu arama sorguları için mi geçerli oluyor?
Sql injeksiyon yani drop ,truncate komutlarının araya sokulmasından mı oluyor :D.

$ara = mysql_query("select * aranan where ara=$_GET[ara]'") or die(mysql_error());
Bu komut ta araya nasıl giriyor ?
 
O

OnurSQL

0
İyinet Üyesi
Katılım
29 Mart 2005
Mesajlar
2,025
Reaction score
1
Konum
ankara
Ozcan' Alıntı:
Bu arama sorguları için mi geçerli oluyor?
Sql injeksiyon yani drop ,truncate komutlarının araya sokulmasından mı oluyor :D.

$ara = mysql_query("select * aranan where ara=$_GET[ara]'") or die(mysql_error());
Bu komut ta araya nasıl giriyor ?
Genişletmek için tıkla ...
PHP: 
function temizle($deger) {
	$deger = trim($deger);
	if(get_magic_quotes_gpc()) {
       	$deger = stripslashes($deger);
        }
	return mysql_real_escape_string($deger);
}
$ara = mysql_query("select * aranan where ara='".temizle($_GET['ara'])."'") or die(mysql_error());
Yukarıda verdiğim fonksiyonu kullanarak değiştir o kodu.
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Üst