SQL injection ve Korunma Yöntemleri İpucu Merhabalar. Veritabanı kullanarak geliştirdiğimiz uygulamaların en büyük tehditlerinden biri SQL injectiondır. Bu konu hakkında sizlere bilgi vermek istedim. SQL injectionı kullanıcı girişinde şu şekilde gerçekleyebiliriz. Kod: 1"select * from musteriler where sifre='" + TxtSifre.Text + "' and mail ='" + TxtMail.Text + "'" Textboxlardan gönderilen parametreler doğru ise yada (or) 1=1 ise bu sorgu çalışacakır. 1=1 doğru olduğu için kullanıcı girişi gerçekleşecektir. Bu bizim istemediğimi bir durumdur. Bu tehlike QueryString ve veri girişi yapılan her yerde mevcuttur. Bir örnek daha vermek gerekirse yine bir textboxtan Kod: 1‘;Delete table tabloadi;-- Sql injection dan korunmak için basit birkaç önlem almak mümkündür. 1. WebConfig dosyasında connectionString i encrypt etmek. 2. Veritabanına bağlanıp sorgu gönderilen kullanıcı için minimum yetkilendirme yapmak 3. Sa kullanıcısını veritabanında asla kullanmamak 4. QueryStringden gönderilen id gibi parametreleri integer tipine çevirmek. 5. Kesinlikle kod içerinde sql sorgularında parametre kullanmak. 6. Exception mesajlarını göstermemek 7. Textboxlardan girilen verilerin içerisndeki ‘ or ‘ gibi textleri temizlemek Kod: Alıntıdır.. Kaynak: YazGeliştir. |
Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şuanki Zaman: 17:41. |
Powered by vBulletin® Version 3.8.8 Beta 3
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Search Engine Friendly URLs by vBSEO
Copyright ©2004 - 2024 IRCForumlari.Net