Asp | |
Webmaster Forumu | forum.websitem.biz | Programlama | Programlama Dilleri | Asp |
Konu: Asp de Sql İnjectiondan korunmak | |
Yazar | Mesaj | |||||||||||||||
Ömer YILDIRIM
Forum Yöneticisi Cahil Yönetici Kayıt Tarihi: 07-Temmuz-2012 Konum: Balıkesir Gönderilenler: 52 Tesekkür: 10 Rep: 24 Hak Puan : 30 Kidem : 9 OrtalamaHak : % 100 Itibar :5
|
Konu: Asp de Sql İnjectiondan korunmak Gönderim Zamanı: 14-Temmuz-2012 Saat 14:11 |
|||||||||||||||
Merhaba arkadaşlar bugunkü asp dersimizde sizlere Asp kod yazanların en çok unuttugu ve sık yaptıgı bir hata olan sql injectiondan korunmayı anlatacagım şimdi sql injection mantıgı where şartından sonraki sorgumuza ikinci bir sql kodu enjekte yani ekleme yapmaktıdır bunun yönetimi iki şekilde olur
1.cisi request ile çekilen bilgiyi süzgeçten gecirmek <% Function QueryFilter(Str)Str = Replace(Str, "*", "[INJ]",1,-1,1)Str = Replace(Str, "=", "[INJ]",1,-1,1)Str = Replace(Str, "<", "[INJ]",1,-1,1)Str = Replace(Str, ">", "[INJ]",1,-1,1)Str = Replace(Str, ";", "[INJ]",1,-1,1)Str = Replace(Str, "(", "[INJ]",1,-1,1)Str = Replace(Str, ")", "[INJ]",1,-1,1)Str = Replace(Str, "+", "[INJ]",1,-1,1)Str = Replace(Str, "#", "[INJ]",1,-1,1)Str = Replace(Str, " ", "[INJ]", 1, -1, 1)Str = Replace(Str, "&", "[INJ]", 1, -1, 1)Str = Replace(Str, "%", "[INJ]", 1, -1, 1)Str = Replace(Str, "?", "[INJ]", 1, -1, 1)Str = Replace(Str, "´", "[INJ]", 1, -1, 1)Str = Replace(Str, ",", "[INJ]",1,-1,1)Str = Replace(Str, "UNION", "[INJ]",1,-1,1)Str = Replace(Str, "SELECT", "[INJ]",1,-1,1)Str = Replace(Str, "WHERE", "[INJ]",1,-1,1)Str = Replace(Str, "LIKE", "[INJ]",1,-1,1)Str = Replace(Str, "FROM", "[INJ]",1,-1,1)Str = Replace(Str, "UPDATE", "[INJ]",1,-1,1)Str = Replace(Str, "INSERT", "[INJ]",1,-1,1)Str = Replace(Str, "ORDER", "[INJ]",1,-1,1)Str = Replace(Str, "GROUP", "[INJ]",1,-1,1)Str = Replace(Str, "ALTER", "[INJ]",1,-1,1)Str = Replace(Str, "ADD", "[INJ]",1,-1,1)Str = Replace(Str, "MODIFY", "[INJ]",1,-1,1)Str = Replace(Str, "RENAME", "[INJ]",1,-1,1)Str = Replace(Str, Chr(39), "[INJ]", 1, -1, 1)If InStr(1,Str,"[INJ]",1) thenResponse.Redirect "Default.asp"end ifQueryFilter = StrEnd Function%> Yukardaki kodumuz ile zararlı sözcükleri siliyoruz 2.yöntemimiz ise request ile çektigimiz kodun integer yani sayı olup olmadıgını kontrol edip one göre sonuç çıkarmaktır. IF Not IsNumeric(Request.QueryString("id")) THEN Response.Write "SQL Injection Atağı Tespit Edildi!" Response.End END IF yukardaki yöntemlerden birini kullanmak sizlere kalmıştır.Umarım herkesin işine yarar bir sonraki asp dersinde görüşünceye kadar bol kodlu günler. |
||||||||||||||||
Hazır Profesyonel Web Site Paketleri WebSitem!
|
||||||||||||||||
alenn34
Forum Üyesi Kayıt Tarihi: 26-Nisan-2013 Gönderilenler: 351 Tesekkür: 0 Rep: 0 Hak Puan : 0 Kidem : 5 OrtalamaHak : % 0 Itibar :0
|
Gönderim Zamanı: 16-Haziran-2013 Saat 15:46 | |||||||||||||||
teşekkürler güzel paylaşım
|
||||||||||||||||
Forum Atla |
Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Kapalı Forumda Anketlerde Oy Kullanma |