Bu ufak yazımda ASP sistemlerde SQL Injectionu önlemeyi anlatmaya çalışıcam. Bir haber sistemi kodladınız ve bu haber sisteminde id ile haberleri gösteriyorsunuz. ” haber.asp?id=35 ” gibi birşey varsayalım. Fakat id’e gelen parametreleri kontrol etmez isek burada çok kritik bir hata yapmış oluruz.
Buraya integer dışında string veriler gönderilerek DB’e istediğii birçok şeyi yaptırabilir saldıran kişi. Lafı uzatmalan nası önlücez onu anlatıyım. İşte kod :

id = Request.QueryString(”id”)
If Not IsNumeric(request.querystring(”id”)) Then
Response.write “Çakala bak sen SQL yediricek x)”
End If

Kodu az bişi açıklıyım. id’e gelen veri sayısal bir verimi taşıdığı yoksa string bir verimi taşıdığına bakar. Eğer string birşey varsa istediğimiz yazıyı yazdırır.
SQL Injection Saldırılarını Önleme