Asp SQL injection hakkında - Sayfa 2

04-07-2013, 17:35:39

#10

~~ShekerChi~~

Üyeliği durduruldu

evet öyle

09-07-2013, 16:20:14

#11

AhmetBOZ

Hocam sql injection sql cümlelerine url üzerinde oynama yapılarak gönderilen bir durum, bu tarayıcı url kısmından da, bir formun action parametresinden de yapılabilir...

Fakat hiçbirşekilde ado,ole,mysqlveya mssql üzerinde değil de aldığın değeri başka bir sayfada değişken olarak kullanacaksan, bunda SQL injection ı gösterecek bir durum tabiki de yok, he dersen peki neler yapılabilir, bunun için de Xss (cross site scripting ) methodunu incelemeni tavsiye ederim, en az SQL inj kadar tehlikelidir...

10-07-2013, 10:35:56

#12

aset0n

Peki o zaman diyelim ki kullanıcı reklam kodu girmek istedi. Ya da google analitik kodu.
bunun nasıl anlayacağım. yani kodun iyi huylu olup olmadığını anlayamam.

peki bunlar için bir yöntem var mı? yani reklam ve analitik için.

tekrar teşekkürler...

16-07-2013, 12:37:19

#13

BESNOKTA

aset0n adlı üyeden alıntı: mesajı görüntüle

Peki o zaman diyelim ki kullanıcı reklam kodu girmek istedi. Ya da google analitik kodu.
bunun nasıl anlayacağım. yani kodun iyi huylu olup olmadığını anlayamam.

peki bunlar için bir yöntem var mı? yani reklam ve analitik için.

tekrar teşekkürler...

analitik kodların harf ve rakamdan oluşursa problem olmaz. yada daha spesifik birşey olursa. fakat ' işareti kaçış sekansıdır sql'de. bu işareti kullandırtmazsan problem yaşamazsın. dediğim gibi. bundan kurtulmanın en güzel yoluda parametre kullanmaktır.

SqlCommand comm = new SqlCommand("SELECT Name FROM uyeler WHERE Id = @PARAM0", connectionNesnen);
comm.Parameters.AddWithValue("@PARAM0", parametreDegerin);

şeklinde kullanacağın yapı işini görecektir. bu şekilde istediğin veriyi gönder. problem yaşayacağını sanmıyorum.
iyi çalışmalar.

16-07-2013, 14:00:03

#14

aset0n

Alıntı

fakat ' işareti kaçış sekansıdır sql'de. bu işareti kullandırtmazsan problem yaşamazsın.

Aşağıdaki örnek kodu ele alacak olursak bolca tırnak işareti var. Yani kaçış mümkün değil gibi duruyor. Benzer ifadeler adsense de de var. Sanırım bütün siteyi DLL'e çevirmek en güvenlisi gibi geliyor bana... Yanılıyor muyum?

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'a-12344444444']);
_gaq.push(['_trackPageview']);

(function() {
  var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
  ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
  var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

25-07-2013, 13:25:00

#15

BESNOKTA

html'de problem olacağını sanmıyorum. bu sadece sql terimlerine geçerlidir. yani tırnak işareti sadece sql'de kaçış sekansıdır. ordaki query'yi sonlandırır. projeyi dll'e de çevirsen eğer gelen querystring'i yada formdaki veriyi parametresiz veri tabanına insert etmeye çalışırsan sql injection açığı bırakmış olursun.