• 23-03-2008, 18:56:09
    #1
    Bütün sorgularımı aşağıdaki gibi yapıyorum. Yani sanırım stored prosedure kullanmıyorum. Aşağıdaki normal aspx dosyası içerisinde kullandığım komutlar sql injeksiyon açığı mıdır ? Sitemi hackleyebilirler mi ?

    PortakalSelect = New SqlCommand("Select Bresim, HaberId, ArsivTarihi, KategoriId, Kategoriler, Yazi, Rate, SUBSTRING(Baslik, 1, 60) as SPORTekBaslikTmp From items WHERE ArsivTarihi=(SELECT ogun FROM online) And KategoriId = 4 ORDER by Baslik", Portakalcon)
  • 24-03-2008, 01:04:52
    #2
    Request.QueryString ile işlem yaptığında gelebilecek değerleri kontrol etmelisin. Bildiğimiz üzere sorgu için gelen kelimenin başına iki tane -- işareti arkasını yeşertebiliyo

    Eğer bi zorluğu yoksa SP kullan derim.
  • 24-03-2008, 03:43:30
    #3
    Stored Prosedure hiç bilmiyorum. Bilgim sıfır.

    GelenKatAd = Request.QueryString("KatAd")
    GelenKatId = Request.QueryString("KatId")
    GelenTarih = Request.QueryString("Tarih")

    bu komutları kullanıyorum. Yani şuanda risk altındayım demek.. Güvenlik altına almanın ve stored prosedure kullanmanın yollarını araştırsam iyi olacak sanırım.