Alıntı:
ozhim tarafından gönderilen mesaj:
pardon arkadasım,
ftp yi ele geciren hacker
ftp de bir ASP dosyası yaratıp
<%
Set SecurityDb = server.CreateObject("DbConnect.DbConn")
response.write SecurityDb.DbSelect("12345")
%>
seklinde bir kod yazarsa bu zeki hacker arkadaslar
karsısına
sqloledb;Data Source=Aron1;Initial Catalog=pubs;User Id=sa;Password=asdasd;
bu satır cıkmazmı ? |
geriye connection string yerine, parametresi
SQL ifadesi olan bir fonksiyonu dll içine yerleştirip (
SQL injection içn kontroller ile beraber), geriye recordset gönderilirse problem kalacağını sanmıyorum. yalnız, recordsetten connection ve connectionstring elde edilemediğine emin değilim.