Asp
 Webmaster Forumu | forum.websitem.biz | Programlama | Programlama Dilleri | Asp
Mesaj icon Konu: Asp de Sql İnjectiondan korunmak Yanıt Yaz Yeni Konu Gönder
Yazar Mesaj
Ömer YILDIRIM
Forum Yöneticisi
Forum Yöneticisi
Simge
Cahil Yönetici

Kayıt Tarihi: 07-Temmuz-2012
Konum: Balıkesir
Gönderilenler: 52

Tesekkür: 10
Rep: 24

Hak Puan : 30
Kidem : 9
OrtalamaHak : % 100
Itibar :5

Aktiflik
16%
Seviye
99%
Deneyim
60%
Alıntı Ömer YILDIRIM Cevaplabullet Konu: Asp de Sql İnjectiondan korunmak
    Gönderim Zamanı: 14-Temmuz-2012 Saat 14:11
Merhaba arkadaşlar bugunkü asp dersimizde sizlere Asp kod yazanların en çok unuttugu ve sık yaptıgı bir hata olan sql injectiondan korunmayı anlatacagım şimdi sql injection mantıgı where şartından sonraki sorgumuza ikinci bir sql kodu enjekte yani ekleme yapmaktıdır bunun yönetimi iki şekilde olur

1.cisi
request ile çekilen bilgiyi süzgeçten gecirmek

<% Function QueryFilter(Str)Str = Replace(Str, "*", "[INJ]",1,-1,1)Str = Replace(Str, "=", "[INJ]",1,-1,1)Str = Replace(Str, "<", "[INJ]",1,-1,1)Str = Replace(Str, ">", "[INJ]",1,-1,1)Str = Replace(Str, ";", "[INJ]",1,-1,1)Str = Replace(Str, "(", "[INJ]",1,-1,1)Str = Replace(Str, ")", "[INJ]",1,-1,1)Str = Replace(Str, "+", "[INJ]",1,-1,1)Str = Replace(Str, "#", "[INJ]",1,-1,1)Str = Replace(Str, " ", "[INJ]", 1, -1, 1)Str = Replace(Str, "&", "[INJ]", 1, -1, 1)Str = Replace(Str, "%", "[INJ]", 1, -1, 1)Str = Replace(Str, "?", "[INJ]", 1, -1, 1)Str = Replace(Str, "´", "[INJ]", 1, -1, 1)Str = Replace(Str, ",", "[INJ]",1,-1,1)Str = Replace(Str, "UNION", "[INJ]",1,-1,1)Str = Replace(Str, "SELECT", "[INJ]",1,-1,1)Str = Replace(Str, "WHERE", "[INJ]",1,-1,1)Str = Replace(Str, "LIKE", "[INJ]",1,-1,1)Str = Replace(Str, "FROM", "[INJ]",1,-1,1)Str = Replace(Str, "UPDATE", "[INJ]",1,-1,1)Str = Replace(Str, "INSERT", "[INJ]",1,-1,1)Str = Replace(Str, "ORDER", "[INJ]",1,-1,1)Str = Replace(Str, "GROUP", "[INJ]",1,-1,1)Str = Replace(Str, "ALTER", "[INJ]",1,-1,1)Str = Replace(Str, "ADD", "[INJ]",1,-1,1)Str = Replace(Str, "MODIFY", "[INJ]",1,-1,1)Str = Replace(Str, "RENAME", "[INJ]",1,-1,1)Str = Replace(Str, Chr(39), "[INJ]", 1, -1, 1)If InStr(1,Str,"[INJ]",1) thenResponse.Redirect "Default.asp"end ifQueryFilter = StrEnd Function%>
Yukardaki kodumuz ile zararlı sözcükleri siliyoruz

2.yöntemimiz ise

request ile çektigimiz kodun integer yani sayı olup olmadıgını kontrol edip one göre sonuç çıkarmaktır.

IF Not
IsNumeric(Request.QueryString("id")) THEN
Response.Write "SQL Injection Atağı Tespit
Edildi!"
Response.End
END IF

yukardaki yöntemlerden birini kullanmak sizlere kalmıştır.Umarım herkesin işine yarar bir sonraki asp dersinde görüşünceye kadar bol kodlu günler.
Hazır Profesyonel Web Site Paketleri WebSitem!
IP  Tesekkur Et
alenn34
Forum Üyesi
Forum Üyesi


Kayıt Tarihi: 26-Nisan-2013
Gönderilenler: 351

Tesekkür: 0
Rep: 0

Hak Puan : 0
Kidem : 5
OrtalamaHak : % 0
Itibar :0

Aktiflik
46%
Seviye
46%
Deneyim
60%
Alıntı alenn34 Cevaplabullet Gönderim Zamanı: 16-Haziran-2013 Saat 15:46
teşekkürler güzel paylaşım
IP  Tesekkur Et
Yanıt Yaz Yeni Konu Gönder
Konuyu Yazdır Konuyu Yazdır

Forum Atla
Kapalı Foruma Yeni Konu Gönderme
Kapalı Forumdaki Konulara Cevap Yazma
Kapalı Forumda Cevapları Silme
Kapalı Forumdaki Cevapları Düzenleme
Kapalı Forumda Anket Açma
Kapalı Forumda Anketlerde Oy Kullanma

Bulletin Board Software by Web Wiz Forums version 8.03