Bu ufak yazımda ASP sistemlerde SQL Injectionu önlemeyi anlatmaya çalışıcam. Bir haber sistemi kodladınız ve bu haber sisteminde id ile haberleri gösteriyorsunuz. ” haber.asp?id=35 ” gibi birşey varsayalım. Fakat id’e gelen parametreleri kontrol etmez isek burada çok kritik bir hata yapmış oluruz.
Buraya integer dışında string veriler gönderilerek DB’e istediğii birçok şeyi yaptırabilir saldıran kişi. “ Lafı uzatmalan nası önlücez biz bunu ” dediğinizi duyar gibi oluyorum İşte kod : ) :
id = Request.QueryString(”id”)
If Not IsNumeric(request.querystring(”id”)) Then
Response.write “Çakala bak sen SQL yediricek x)”
End If
Kodu az bişi açıklayalım. id’e gelen veri sayısal bir verimi taşıdığı yoksa string bir verimi taşıdığına bakar. Eğer string birşey varsa istediğimiz yazıyı yazdırır
Hiç yorum yok:
Yorum Gönder