SQL Injection Saldırılarını Önleme

08-03-2009, 01:05:48

#1

Bey4zKurt

Kimlik doğrulama veya yönetimden onay bekliyor.
Bu ufak yazımda ASP sistemlerde SQL Injectionu önlemeyi anlatmaya çalışıcam. Bir haber sistemi kodladınız ve bu haber sisteminde id ile haberleri gösteriyorsunuz. ” haber.asp?id=35 ” gibi birşey varsayalım. Fakat id’e gelen parametreleri kontrol etmez isek burada çok kritik bir hata yapmış oluruz.
Buraya integer dışında string veriler gönderilerek DB’e istediğii birçok şeyi yaptırabilir saldıran kişi. Lafı uzatmalan nası önlücez onu anlatıyım. İşte kod :
```
id = Request.QueryString(”id”)
If Not IsNumeric(request.querystring(”id”)) Then
Response.write “Çakala bak sen SQL yediricek x)”
End If
```
Kodu az bişi açıklıyım. id’e gelen veri sayısal bir verimi taşıdığı yoksa string bir verimi taşıdığına bakar. Eğer string birşey varsa istediğimiz yazıyı yazdırır.
SQL Injection Saldırılarını Önleme
08-03-2009, 01:11:59

#2

~~LuGeSoft~~

Üyeliği durduruldu

id=abc diyince demi saldırı yapmış olluyor ?
Ayrıca sadece sayı olan yerde değil yazı gelen yerde de bu şekilde saldırı olabilir.