SQL Injection programcıdan kaynaklanan bir sorundur. Bazen yetkisin erişime olanak verdiği için bilgisayar sistemleri için çok önemli fakat önlemi alınabilen bir konudur.Parametre kullanmadan doğrudan SQL cümlecikleriyle işlemler yaptığımızda kötü niyetli kişiler tarafından girilen SQL cümleciğindeki şartlı durumları doğru yapacak şekilde girdiler, sisteme yetkisiz ya da yanlış yetkilendirilmiş girişlerle sonuçlanır. SQL cümlelerinde bu kondisyonları bozan girdiler şöyledir:
’ or 1=1--
" or 1=1--
’ or ’a’=’a
or 1=1--
’) or (’a’=’a
" or "a"="a
SQL Injection'dan korunmak için yapılması gerekenler ise gayet basittir. İlk alınacak önlem ' ve " karakterlerinin yukarıdaki gibi kullanımını önlemek. ' karakterlerini '' ile değiştirmek iyi bir çözümdür. Diğer karakterler için de yine bir karakteri ikilemek ya da tamamen silmek düşünülebilir. Burada önemli nokta girişin ne olarak kullanılacağıdır. Bir parola girişi için tüm üye kayıt ve girişlerindeki karakterler üzerinde aynı işlemleri yaparsanız verilerin doğrulanması ve tutarlılığında sorun olmayacaktır.
Cuma, Ocak 29, 2010
Kaydol:
Kayıt Yorumları (Atom)
Yazılar
0 yorum:
Yorum Gönder