Merhabalar,
Bir projemizde çok ilginç bir olayla karşılaştık. Üyelik sistemi olan sitemizde aynı eposta adresini kullanarak 2 farklı user name ile hesap açılmış normal şartlarda bunun olması mümkün değil. nasıl olduğunu bilmiyorum ancak anladığım kadarıyla deneye deneye bunu yapmışlar. Böyle bir durum nasıl meydana gelebilir?
sql injection?
6
●586
- 24-07-2009, 10:55:56EXECUTE("SELECT COUNT(mail) AS kontrol FROM uye WHERE mail = '"&gelen_mail&"'")
şeklinde bir sorguyla gelen mail adresinden db de kayıtlı olan varmı diye sorgu yapıyorum bende sorunsuz çalışıyor sql açıklarını da denedim ancak nasıl olduysa bir üye aynı mail adresini 2 defa yazdırabilmiş ve bunu kasıtlı yapmış. Sizce nasıl yapılabilir böyle bir işlem? - 24-07-2009, 12:37:25Şimdilik bişey bulamadım, aklıma fazla bişeyde gelmedi ama istediğim mail adresiyle örneğin, "billgates@microsoft.com" adresiyle üye olup, onay mailine gerek kalmadan üyeliğimi aktifleştirebiliyorum.
Yeni üye kaydını yaparken, üyeler tablosuna "onaykodu" diye sütun açıp kayıt sırasında buraya rasgele karakterler girdirip, maille yolladığınız linke &onaykodu=KHÇJSDöaskda4q2qa şeklinde ekleyip, linke tıkladığında eşleştirme yaptıktan sonra onaylattırırsanız daha iyi olur.
Diğer sorun için akşam biraz kafa yoracağım. - 24-07-2009, 18:48:34
Kimlik doğrulama veya yönetimden onay bekliyor.EXECUTE("SELECT COUNT(mail) AS kontrol FROM uye WHERE mail = '"&gelen_mail&"'")
bunun yerine
...
set objRs = Server.CreateObject("ADODB.RecordSet")
strSQL = "SELECT * FROM uye WHERE mail = '"&gelen_mail&"'"
objRs.Open strSQL, objConn, 1,3
if Not objRs.EOF Then
Response.Write"Belirtilen mail adresi daha önce kayıt edilmiş"
else
objRs.AddNew
......
şeklinde kullanmak daha rahat olabilir diye düşünüyorum. Böylece mail adresinin önceden kayıtlı olup olmadığını kontrol içinci bir key sorgu çalıştırmamış olursun.
sadece kendi fikrim.
Ayrıca Peksoft'un önerdiği güvenlik kodu sistemi hem daha kullanışlı hem daha kontrollü olabilir.
