ASP Kod kullanımı ve SQL Injection'dan korunma (yardım)

turuncuu · 29.11.2007

Kod:

commentsSQL = "select COMMENTS.COMMENT_ID from COMMENTS;"
	rsComments.cursorlocation=3
	rsComments.open commentsSQL,adoCon,2,3
	numberOfComments=rsComments.recordcount
	rsComments.Close

yerine,

Kod:

Set rsComments = adoConn.Execute("SELECT Count(comments.COMMENT_ID) AS antal FROM comments;")

kullansam bir şey farkeder mi? Comments tablosundaki yorumları saydırmak istiyorum. Her iki şekilde de alabiliyorum ama hangisini tercih etmeliyim

Ve kodu SQL injection'dan korumak için aşağıdaki gibi mi kullanmalıyım kodda (Cint) yanlışlık var mı? yada yerine ne önerirsiniz? Teşekkürler.

Kod:

Set rsComments = adoConn.Execute("SELECT Count(comments.COMMENT_ID) AS antal FROM comments WHERE comments.COMMENT_ID = " & cint(replace(Request.QueryString("COMMENT_ID"),"'","''")) & ";")

soul · 29.11.2007

Kayit sayisi icin ikinci gonderdigin yontem muhtemlelen performans acisindan daha iyi olacaktir.

SQL Injection a gelince Prepared Statement (ya da Parameterized Statement / Query) kullanmani oneririm.

Ek olarak verdigin ornek dogru Cint() isini gorecektir. ama Parameterized Query ler konuya kesin cozum getirecektir.

turuncuu · 29.11.2007

Çok teşekkürler

Parameterized Query nasıl kullanırım diye Google baktım

http://www.4guysfromrolla.com/webtech/111798-1.shtml linki buldum. Şimdi sıra nasıl kulanmam gerektiğini anlamada...

Bu arada Google bu sayfayı hemen indexlemiş türkçe olarak ararken ilk sayfada gördüm

29.11.2007	#1 (permalink)
turuncuu Üyelik Tarihi: 23.08.2007 Yer: İstanbul Yaş: 20 Mesaj: 49	ASP Kod kullanımı ve SQL Injection'dan korunma (yardım) Kod: commentsSQL = "select COMMENTS.COMMENT_ID from COMMENTS;" rsComments.cursorlocation=3 rsComments.open commentsSQL,adoCon,2,3 numberOfComments=rsComments.recordcount rsComments.Close yerine, Kod: Set rsComments = adoConn.Execute("SELECT Count(comments.COMMENT_ID) AS antal FROM comments;") kullansam bir şey farkeder mi? Comments tablosundaki yorumları saydırmak istiyorum. Her iki şekilde de alabiliyorum ama hangisini tercih etmeliyim Ve kodu SQL injection'dan korumak için aşağıdaki gibi mi kullanmalıyım kodda (Cint) yanlışlık var mı? yada yerine ne önerirsiniz? Teşekkürler. Kod: Set rsComments = adoConn.Execute("SELECT Count(comments.COMMENT_ID) AS antal FROM comments WHERE comments.COMMENT_ID = " & cint(replace(Request.QueryString("COMMENT_ID"),"'","''")) & ";")

29.11.2007	#2 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,275	Re: ASP Kod kullanımı ve SQL Injection'dan korunma (yardım) Kayit sayisi icin ikinci gonderdigin yontem muhtemlelen performans acisindan daha iyi olacaktir. SQL Injection a gelince Prepared Statement (ya da Parameterized Statement / Query) kullanmani oneririm. Ek olarak verdigin ornek dogru Cint() isini gorecektir. ama Parameterized Query ler konuya kesin cozum getirecektir. __________________ FERRUH.MAVİTUNA - İnanmıyorum, yeni site!

29.11.2007	#3 (permalink)
turuncuu Üyelik Tarihi: 23.08.2007 Yer: İstanbul Yaş: 20 Mesaj: 49	Re: ASP Kod kullanımı ve SQL Injection'dan korunma (yardım) Çok teşekkürler Parameterized Query nasıl kullanırım diye Google baktım http://www.4guysfromrolla.com/webtech/111798-1.shtml linki buldum. Şimdi sıra nasıl kulanmam gerektiğini anlamada... Bu arada Google bu sayfayı hemen indexlemiş türkçe olarak ararken ilk sayfada gördüm Mesaj turuncuu tarafından 29.11.2007 (18:28) yeniden düzenlendi..