Alıntı:
divemaster tarafından gönderilen mesaj:
Merhaba,
SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor
Kod:
replace(gelenVeri, "and", "\and" )
Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak |
En iyi yontem parameterized query kullanmak, gayet te pratik. Yok ille de yapmayacagim dersen tek tirnaklari iki tek tirnak ile replace etmen yeterli olacaktir.
O'Reilly yi su hale getirmen gerekiyor : O''Reilly
Tam olarak bunu sormamissin galiba ama pratik yontem derken? Ozetle tek tirnaklari replace etmen gerekiyor.