Arkadaşlar merhaba
Sql injection için bir koruma düzeni hazırladım fakat sisteme adapte edemedim.
Guvenlik.Asp dosyasının içeriği
<%
Function Temizle(strVeri)
'|======================================
'| SQL Injection'dan Korunma Fonksiyonu
'| mydesign ****.a doronty37
'| http://www.mydesign.gen.tr
'| mydesign@mydesign.gen.tr
'|======================================
'// Eğer Değişken Boşsa Fonksiyondan Çıkılıyor
If strVeri = "" Then Exit Function
'// Zararlı Kodlar Burada Ayıklanıyor
strVeri = Replace(strVeri, "<", "<")
strVeri = Replace(strVeri, ">", ">")
strVeri = Replace(strVeri, "[", "[")
strVeri = Replace(strVeri, "]", "]")
strVeri = Replace(strVeri, """", "", 1, -1, 1)
strVeri = Replace(strVeri, "=", "=", 1, -1, 1)
strVeri = Replace(strVeri, "'", "''", 1, -1, 1)
strVeri = Replace(strVeri, "select", "select", 1, -1, 1)
strVeri = Replace(strVeri, "join", "join", 1, -1, 1)
strVeri = Replace(strVeri, "union", "union", 1, -1, 1)
strVeri = Replace(strVeri, "where", "where", 1, -1, 1)
strVeri = Replace(strVeri, "insert", "insert", 1, -1, 1)
strVeri = Replace(strVeri, "delete", "delete", 1, -1, 1)
strVeri = Replace(strVeri, "update", "update", 1, -1, 1)
strVeri = Replace(strVeri, "like", "like", 1, -1, 1)
strVeri = Replace(strVeri, "drop", "drop", 1, -1, 1)
strVeri = Replace(strVeri, "create", "create", 1, -1, 1)
strVeri = Replace(strVeri, "modify", "modify", 1, -1, 1)
strVeri = Replace(strVeri, "rename", "rename", 1, -1, 1)
strVeri = Replace(strVeri, "alter", "alter", 1, -1, 1)
strVeri = Replace(strVeri, "cast", "cast", 1, -1, 1)
Temizle = strVeri
End Function
%>
Ve bunu login_verify dosyasında kullanmak istiyorum.
login_verify dosyasının içeriği
<!--#include file="variables.asp"-->
<!--#include file="guvenlik.asp"-->
<%'Check if the login and password exist. If yes then login otherwise error.
open_recordset rs_getAdmin,"select * from admin where login = '"&request.form("login")&"' and password = '"&request.form("password")&"' "
if rs_getAdmin.eof then
open_recordset rs_getInfo,"select active,id,pending from members where login = '"&request.form("login")&"' and password = '"&request.form("password")&"' "
if not rs_getInfo.eof then
if rs_getInfo("pending") <> true then
session("userid") = rs_getInfo("id")
response.redirect "index.asp"
else
response.redirect "login.asp?error=2"
end if
else
response.redirect "login.asp?error=1"
end if
rs_getInfo.close
set rs_getInfo = nothing
else
session("admin") = "1"
response.redirect "admin.asp"
end if
rs_getAdmin.close
set rs_getAdmin = nothing
conn.close
set conn = nothing%>
Bir türlü adapte edemedim. Yardımcı olursanız çok sevinirim. Şimdiden teşekkürler.