folder Tahribat.com Forumları
linefolder Bilişim Güvenliği
linefolder Sql İnj. Den Nasıl Korunulur



Sql İnj. Den Nasıl Korunulur

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    FOXXLY
    FOXXLY's avatar
    Kayıt Tarihi: 19/Haziran/2006
    Erkek
    bi sitem var ' yazıp arama butonuna basınca garip şeyler çıkıyor :(

    nasıl çözebilirm bu poroblemi
    kelimeler albayım bazı anlamlara gelmiyor.
    Reply With Quote Alıntı yap
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Sigortacı
    DJ_Alper
    DJ_Alper's avatar
    Bilgi/Destek Madalyası
    Kayıt Tarihi: 03/Ocak/2006
    Erkek
    nukemi site yada sitenin adresi ne benim bi sitem var demekle olmuyo :))
    Sorularınızı cilginsigortaci@gmail.com a yazabilirsiniz cevaplar instagram sayfasında >>>instagram/cilginsigortaci/ █║▌│█│║▌║││█║▌║▌║
    Reply With Quote Alıntı yap
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    8mm
    8mm's avatar
    Üstün Hizmet Madalyası
    Kayıt Tarihi: 01/Mart/2003
    Erkek
    Veritabanına oluşturduğun isimlerle alakalı. Sql injection yiyen siteler genelde database deki verileri okutur. Örneğin aspindir de yayınlanan birçok scriptin sql injection problemi vardır. Yani bir nebi bir kod ile db nin içindeki bilgileri almak. Tabi başka birçok şey daha yapabilirsiniz. Sitede arama özelliği olursa işiniz iş..
    Kimse sana özgürlük veremez. Kimse sana eşitlik veya adalet veya başka birşey veremez. Eğer adamsan, sen alırsın. 8mm@tahribat.com
    Reply With Quote Alıntı yap
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    8mm
    8mm's avatar
    Üstün Hizmet Madalyası
    Kayıt Tarihi: 01/Mart/2003
    Erkek
    Uyeler gibi bir isim varsa db de bunu uye_tablo gibi bir şey yaparak korunabilirsin.
    Kimse sana özgürlük veremez. Kimse sana eşitlik veya adalet veya başka birşey veremez. Eğer adamsan, sen alırsın. 8mm@tahribat.com
    Reply With Quote Alıntı yap
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    SPY-CX5
    SPY-CX5's avatar
    Savaş Madalyası Üstün Hizmet Madalyası Savaş Madalyası
    Kayıt Tarihi: 03/Mart/2007
    Erkek
    en basiti PHP ise hata verdirtmesini önlemen için

    mysql_connect, mysql_query, mysql_fetch_array ların başına @ koy
    Reply With Quote Alıntı yap
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    FOXXLY
    FOXXLY's avatar
    Kayıt Tarihi: 19/Haziran/2006
    Erkek
    walla sitenin adresini vermek isterdim ama tırstığım için vermiyom :))

    sistem asp ile kodlandı.

    aslında
    <%
    function guvenlik(arama)
    arama = Replace (arama ,"'","",1,-1,1)
    arama = Replace (arama ,"`","",1,-1,1)
    arama = Replace (arama ,"=","",1,-1,1)
    arama = Replace (arama ,"&","",1,-1,1)
    arama = Replace (arama ,"%","",1,-1,1)
    arama = Replace (arama ,"!","",1,-1,1)
    arama = Replace (arama ,"#","",1,-1,1)
    arama = Replace (arama ,"<","",1,-1,1)
    arama = Replace (arama ,">","",1,-1,1)
    arama = Replace (arama ,"*","",1,-1,1)
    arama = Replace (arama ,"And","",1,-1,1)
    arama = Replace (arama ,"'","",1,-1,1)
    arama = Replace (arama ,"Chr(34)","",1,-1,1)
    arama = Replace (arama ,"Chr(39)","",1,-1,1)
    arama = Replace (arama ,"select","",1,-1,1)
    arama = Replace (arama ,"join","",1,-1,1)
    arama = Replace (arama ,"union","",1,-1,1)
    arama = Replace (arama ,"where","",1,-1,1)
    arama = Replace (arama ,"insert","",1,-1,1)
    arama = Replace (arama ,"delete","",1,-1,1)
    arama = Replace (arama ,"update","",1,-1,1)
    arama = Replace (arama ,"like","",1,-1,1)
    arama = Replace (arama ,"drop","",1,-1,1)
    arama = Replace (arama ,"create","",1,-1,1)
    arama = Replace (arama ,"modify","",1,-1,1)
    arama = Replace (arama ,"rename","",1,-1,1)
    arama = Replace (arama ,"alter","",1,-1,1)
    arama = Replace (arama ,"cast","",1,-1,1)
    guvenlik=arama
    end function
    %>

    bu kodları kullanıyorum ama bi boka yaramıyor yine alıyorum o hatayı tablo isimleri filan çıkıyor ' yazınca :(
    kelimeler albayım bazı anlamlara gelmiyor.
    Reply With Quote Alıntı yap
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    AntiOksidan
    AntiOksidan's avatar
    Kayıt Tarihi: 03/Ekim/2005
    Erkek
    atıorum

    asp?id=2329 var diyelim sen burda bi puştluk yap
    2329"d yaz.

    "
    Microsoft OLE DB Provider for SQL Server error "80040e14"

    Unclosed quotation mark before the character string "d;".

    /news.asp, line 67 "

    diye bi hata verio mu bak bakalım.
    gerçi bu yazdığım asp şu anda lsteleme yapılamıomş dio şu hata da.
    eer böle bi hata veriosa sql yemeye ilk adım diyebiliriz.
    ileri seviye sql + asp bilgim yok o yüzden kesn bişe diyemiorum : )
    Reply With Quote Alıntı yap
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    FOXXLY
    FOXXLY's avatar
    Kayıt Tarihi: 19/Haziran/2006
    Erkek
    ana sayfada yapınca

    Ulaşmaya çalıştığınız sayfa bulunamadı. !

    Ana Sayfa

    başka bi sayfada yapınca
    Lütfen Geçerli bir ID numarasý girin.


    bazılarında ise 500 hatası alıyorum

    bide sql dan korunmak için özel sayfa hatalarını açmak iyi olurmu

    açınca bu hatalar çıkmıyor
    kelimeler albayım bazı anlamlara gelmiyor.
    Reply With Quote Alıntı yap
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    FOXXLY
    FOXXLY's avatar
    Kayıt Tarihi: 19/Haziran/2006
    Erkek
    bi puştluk yapıp burada deneyim dedim :)

    http://tahribat.com/forumnewmessage.asp?folderid=33813'd
    böle yazınca bu hata çıkıyor :P
    sql açığımı var yane :D

    Microsoft VBScript runtime error '800a000d'

    Type mismatch: 'CLng'

    /forumnewmessage.asp, line 15


    kelimeler albayım bazı anlamlara gelmiyor.
    Reply With Quote Alıntı yap
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    pesimistzombie
    pesimistzombie's avatar
    Kayıt Tarihi: 14/Haziran/2006
    Erkek
    sayfana on error resume next ekle.. o güvenlik fonksiyonunuda her requestte kullan örneğin

    id=guvenlik(request("id"))

    bu sayede gelen id temizlenmiş olur on error resume next sayesinde de hatalar gözükmez.
    :|
    Reply With Quote Alıntı yap
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ir2
    ir2's avatar
    Bilgi/Destek Madalyası Developer Madalyası
    Kayıt Tarihi: 10/Mayıs/2003
    Erkek
    krouma yöntemi basit asp de db sokarken adodb command kullanicaksiniz direkt sql cumlesi vericeginize o szin yerinize olustursun cumleyi. nasi oluyor diyenlere;
    set objCommand=Server.CreateObject("ADODB.command")
    seklinde olsuturuyodsunz daha sonra
    .params ile paametreleri veriyosunz hem daha sistematik çalışıo hem çok daha güvenli
    örnek kodu şurda var;
    http://www.sqlservercentral.com/columnists/awarren/introductiontoadothecommandobject.asp


    foxxly: o gördüğün hatayı sql deil asp side isapi veriyo yani gelen değerin bi sayı olmadığını beliryio cint() cstr() cdate() gibi fonksiyonlarla gelen veriyi sadece istediğin türe sokaiblirsin sadece sayı gelcek bi bölümde filitrelemeyi güvenliğe sokmaktansa cint ile filitrelemek daha mantıklı. tabi bu tavsiye etmediğim bi yöntem tahribat eski dönemlerde yazıldığından bu şekilde uygun görmüş holy.
    Reply With Quote Alıntı yap
Toplam Hit: 13977 Toplam Mesaj: 14