Zoque.Forum - View Single Post

divemaster · 09.04.2008

Merhaba,

SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor

Kod:

replace(gelenVeri, "and", "\and" )

Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

09.04.2008	#1 (permalink)
divemaster Üyelik Tarihi: 27.01.2007 Yer: - Mesaj: 112	MSSQL'e Veri Girerken Karakter Temizleme Merhaba, SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor Kod: replace(gelenVeri, "and", "\and" ) Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

Sponsorlu Bağlantılar
Zoque.Forum Advertisement