SQL’de Kabus, SQL Injection! yazısına yapılan yorumlar http://www.t-infection.com/sqlde-kabus-sql-injection/ tasarım oyuncaklarımız ve web teknolojilerine dair kısa kısa... Fri, 08 Jul 2011 09:26:18 +0000 http://wordpress.org/?v=2.9.2 hourly 1 alim ömer abul tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-32167 alim ömer abul Tue, 08 Mar 2011 02:28:35 +0000 http://www.t-infection.com/?p=253#comment-32167 kimisi gelen post verisini stripslashes($gelenveri) yada mysql_real_escape_string($gelenveri) seklinde php nın sabit fonksiyonu ıle replace ettiriyor. bu verdiginiz kod ile bu söylediklerim arasinda herhangi bir fark varmıdır? kimisi gelen post verisini stripslashes($gelenveri) yada

mysql_real_escape_string($gelenveri) seklinde php nın sabit fonksiyonu ıle replace ettiriyor. bu verdiginiz kod ile bu söylediklerim arasinda herhangi bir fark varmıdır?

]]> Nedim tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-31622 Nedim Thu, 17 Feb 2011 17:49:32 +0000 http://www.t-infection.com/?p=253#comment-31622 Çok faydalı fonksiyonlar teşekkrüler. Çok faydalı fonksiyonlar teşekkrüler.

]]> tamer tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-23912 tamer Sat, 27 Mar 2010 12:12:51 +0000 http://www.t-infection.com/?p=253#comment-23912 id işlemleri sayısal saten is_numeric() fonksiyonu kullanmak yeterli. if(is_numeric($_GET['id']){ devam } else { hata } kullanıcının sql ile direkten yani örnekte verdiğiniz gibi işlem yapcaksa her ihtimale karşı güvenlik betiği, zaman aşımı koyması daha sağlıklı olur. ellerine sağlık çok başarılı bir yazı olmuş. id işlemleri sayısal saten is_numeric() fonksiyonu kullanmak yeterli.

if(is_numeric($_GET['id']){
devam
} else {
hata
}

kullanıcının sql ile direkten yani örnekte verdiğiniz gibi işlem yapcaksa her ihtimale karşı güvenlik betiği, zaman aşımı koyması daha sağlıklı olur.

ellerine sağlık çok başarılı bir yazı olmuş.

]]> Bartuc tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-13882 Bartuc Tue, 04 Nov 2008 01:01:54 +0000 http://www.t-infection.com/?p=253#comment-13882 Bu fonksiyonları bypass eden bir method henüz bulunmadı. hastablog sisteminde(halka açık bir sistem) kullandığım için ve birçok yerde bu script kullanıldığı için, bypass edilseydi çoktan edilirdi fakat henüz böyle bir sorun yok. Bu fonksiyonları bypass eden bir method henüz bulunmadı. hastablog sisteminde(halka açık bir sistem) kullandığım için ve birçok yerde bu script kullanıldığı için, bypass edilseydi çoktan edilirdi fakat henüz böyle bir sorun yok.

]]> asd tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-13874 asd Mon, 03 Nov 2008 15:47:35 +0000 http://www.t-infection.com/?p=253#comment-13874 bunlar korumaz bu fonksiyonlarda bypass ediliyor bunlar korumaz bu fonksiyonlarda bypass ediliyor

]]> Suphi tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-13176 Suphi Mon, 13 Oct 2008 21:21:01 +0000 http://www.t-infection.com/?p=253#comment-13176 yanlış hatırlamıyorsam eğer vakti zamanında microsoft sql server'da çıkmıştı bu tarzda sql injection açıkları. ' işareti kullanılarak izinsiz komut işletiliyordu. (' or 1=1-- gibi) bu tarz işlemlerle kullanıcı adı/parola sorgulamalarından true sonuç döndürülüyordu. yanlış hatırlamıyorsam eğer vakti zamanında microsoft sql server’da çıkmıştı bu tarzda sql injection açıkları.

‘ işareti kullanılarak izinsiz komut işletiliyordu.

(‘ or 1=1– gibi)

bu tarz işlemlerle kullanıcı adı/parola sorgulamalarından true sonuç döndürülüyordu.

]]> Ahmet Eyüp tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-12794 Ahmet Eyüp Wed, 01 Oct 2008 10:15:05 +0000 http://www.t-infection.com/?p=253#comment-12794 İşe yarar bir yazı olmuş, paylaştığın için teşekkürler Cihan. Yalnız kodları renklendirebilirsen daha güzel olur. Okunabilirliği zayıf çünkü. İlk yazın hayırlı olsun, çalışmalarında başarılar ;) İşe yarar bir yazı olmuş, paylaştığın için teşekkürler Cihan. Yalnız kodları renklendirebilirsen daha güzel olur. Okunabilirliği zayıf çünkü.

İlk yazın hayırlı olsun, çalışmalarında başarılar ;)

]]> Bartuc tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-12759 Bartuc Tue, 30 Sep 2008 14:57:19 +0000 http://www.t-infection.com/?p=253#comment-12759 Bu kodlarla tam olarak yaptığımız şey, kullanııcıdan url veya post yoluyla gelen bütün verileri mysql sorgusunda kullanmadan önce filtrelemek, ' işareti kullanarak gelen verinin sorguya karıştırılmasını engellemek. Bu şekilde kullandığımızda gelen verideki ' işareti \' halini alır ve bu sayede kötü niyetli kişiler amaçlarına ulaşamazlar. Bu kodlarla tam olarak yaptığımız şey, kullanııcıdan url veya post yoluyla gelen bütün verileri mysql sorgusunda kullanmadan önce filtrelemek, ‘ işareti kullanarak gelen verinin sorguya karıştırılmasını engellemek. Bu şekilde kullandığımızda gelen verideki ‘ işareti \’ halini alır ve bu sayede kötü niyetli kişiler amaçlarına ulaşamazlar.

]]> Aistlinri tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-12725 Aistlinri Mon, 29 Sep 2008 08:23:45 +0000 http://www.t-infection.com/?p=253#comment-12725 çift tırnak açığı sadece PHP'nin değil bir dönem ASP'nin de baş belası olmuştu. Ancak bir konuda daha detaylı bir açıklama rica etmekteyim kullandığın değerleri ve kodların açılımlarını yaparsan bizde neyin neye yaradığını daha iyi öğreniriz diye düşünüyorum. çift tırnak açığı sadece PHP’nin değil bir dönem ASP’nin de baş belası olmuştu. Ancak bir konuda daha detaylı bir açıklama rica etmekteyim kullandığın değerleri ve kodların açılımlarını yaparsan bizde neyin neye yaradığını daha iyi öğreniriz diye düşünüyorum.

]]> Bartuc tarafından http://www.t-infection.com/sqlde-kabus-sql-injection/comment-page-1/#comment-12704 Bartuc Sun, 28 Sep 2008 14:15:12 +0000 http://www.t-infection.com/?p=253#comment-12704 Bu bahsedilen çift tırnak açığı denen olay da sql injection'un bir türü. Bu verdiğim güvenlik kodları/fonksiyonu ile hiç bir şekilde SQL injection'a maruz kalmazsınız, kökten çözüm budur. Bu bahsedilen çift tırnak açığı denen olay da sql injection’un bir türü. Bu verdiğim güvenlik kodları/fonksiyonu ile hiç bir şekilde SQL injection’a maruz kalmazsınız, kökten çözüm budur.

]]>