Kodları lütfen aşağıdaki butonları kullanarak renklendirin. Örnek: <php> echo "Selam Dünya"; </php>
Yardım
karakter kaldı

Bir sql injection durumu hakkında

Merhaba arkadaşlar veritabanımızdaki kayıtlara bir hack işlemimi oldu ya da bir eklenti yüzünden mi ekleme yapıldığını çözemediğimiz. bir durum var

married looking to cheat ya da why most women cheat gibi kelimelerle bir sitenin linki

bu hackleme nasıl yapılabilir. query stringleri kontrol ediyoruz login leri kontrol ediyoruz. text kutularını kontrol ediyoruz ama yine oluyor bu başına gelen varmı acaba?
+0
-0
Cevaba KatılıyorumKatılmıyorum
Cevap Yaz Yorum Yaz Arşivime Ekle Takip Et

Cevaplar

  • oguzmusa adlı üyenin fotoğrafı
    6 yıl önce yazılmış
    31 cevap - 40 soru
    Biraz daha açık yazarsan iyi olur. Diğer türlü sana cevap vermemiz zor.
  • Safak adlı üyenin fotoğrafı
    6 yıl önce yazılmış
    6 yıl önce güncellenmiş
    7 cevap - 0 soru
    Yazılan kodların, kullanıcı tarafından gönderilen yerlerdeki sorgularını tamamen kontrol etmelisin. Injection işlemine karşı korumalı bir şekilde kod yazmalısın. .net kullanıyorsan sql parameters ile birlikte kullanabilirsin sorgularını. Böylece daha güvenli olur

    comm = new SqlCommand("SELECT ad,soyad FROM uyeler WHERE ad= @ad",conn);
    comm.Parameters.AddWithValue("@ad", "safak");
    


    Biraz daha detaylı arama yaparak sql parameters kullanımı hakkında bilgiler edinebilirsin.
  • kaan_1039 adlı üyenin fotoğrafı
    6 yıl önce yazılmış
    2 cevap - 7 soru
    Get verisi kullanıyorsan oradan saldırmış olabilir. doğrudan veritabanına header yönlendirmesi ile sql injection yapmışlardır. get ile aldığın verileri mysql_real_escape_string ile ya da aşağıda ki gibi daha komplike bir fonksiyon ile korumaya alman lazım. Aşağıda yazılan str_replace yani sitring değiştirme işlemlerini select yazısı or 1=1 yazısı gibi yazılar ilede çoğaltabilirsin.

    $veri = w($_GET['haber']);
    if (!function_exists("w")) 
    {
    	function w($q) {
    
    $q = str_replace("`","",$q);
    
    $q = str_replace("<script","",$q);
    
    $q = str_replace("<?php","",$q);
    
    $q = str_replace("?>","",$q);
    
    $q = str_replace("include","",$q);
    
    $q=trim($q);
    
    return $q;
    
    }
    }