Sql İnjection Sisteminin Mantığı
Php Programlamada dışarıdan GET methodu ile gelen ger bilgi değiştirilebilir bilgidir.Örneğin bir sadırgan adres satırındaki bilgiyi değiştirerek sistemin zayıf noktalarını araştırabilir.Bu nedenle kategori yada içerikle ilgili İd bilgisi satılardan oluştuğu için bu değerlerin sayı olup olmadığını
gibi bir örnekten yola çıkarak test edebilirsiniz.
Dolayısıyla saldırgan dışardan saldırı amaçlı bir bilgi gönderse bile bu sınamadan geçemez.
Bilmeyenler için SQL İnjection'u açıklayayım şimdi de...
SQL injection Php,Asp,Perl gibi script dilleriyle yazılmış ve bilgilerin veritababında tutuldugu web sitelerinde,kullanıcıların dışardan SQL komutları gönderdigi saldıya verilen isimdir.Bu saldırı biçminde eğer dışardan gelen bilgi belirli kriterlere göre sınırlandırılmıyorsa linkten gelen bilgi direk SQL sorgusuna aktarılacağı için bırdaki sorgunun değiştirilmesi çok büyük bir ihtimaldir.Bu nedenle dışardan GET yada POST methoduyla gelen her istek SQL sorgusuna gönderilmeden önce süzgeçten geçirilmelidir.Bunun için
fonksyonu kullanılabilir.Dışarıdan gelebilecek TEK TIRNAK ve benzeri özel karakterleri escape ederek zararsız hale getirir.
Bu tür detaylara web sayfalarınız veya kopanel 'lerinizde dikkat ederseniz bu işten kazançlı çıkan siz olursunuz.
Memnun kaldıysanız bir teşekkür yorumu yeter de artar.
Php Programlamada dışarıdan GET methodu ile gelen ger bilgi değiştirilebilir bilgidir.Örneğin bir sadırgan adres satırındaki bilgiyi değiştirerek sistemin zayıf noktalarını araştırabilir.Bu nedenle kategori yada içerikle ilgili İd bilgisi satılardan oluştuğu için bu değerlerin sayı olup olmadığını
PHP:
if(is_numeric($[asdid']))Dolayısıyla saldırgan dışardan saldırı amaçlı bir bilgi gönderse bile bu sınamadan geçemez.
Bilmeyenler için SQL İnjection'u açıklayayım şimdi de...
SQL injection Php,Asp,Perl gibi script dilleriyle yazılmış ve bilgilerin veritababında tutuldugu web sitelerinde,kullanıcıların dışardan SQL komutları gönderdigi saldıya verilen isimdir.Bu saldırı biçminde eğer dışardan gelen bilgi belirli kriterlere göre sınırlandırılmıyorsa linkten gelen bilgi direk SQL sorgusuna aktarılacağı için bırdaki sorgunun değiştirilmesi çok büyük bir ihtimaldir.Bu nedenle dışardan GET yada POST methoduyla gelen her istek SQL sorgusuna gönderilmeden önce süzgeçten geçirilmelidir.Bunun için
PHP:
mysql_real_ecape_string();Bu tür detaylara web sayfalarınız veya kopanel 'lerinizde dikkat ederseniz bu işten kazançlı çıkan siz olursunuz.
Memnun kaldıysanız bir teşekkür yorumu yeter de artar.
Son düzenleme:
MSSQL üzerinden çalışır bunun en büyük sebeplerinden birisi MySQL'de stored prosedürlerin MSSQL gibi olmaması ve bağlantı yapısının tamamen farklı olmasıdır.