MSSQL'e Veri Girerken Karakter Temizleme

divemaster · 09.04.2008

Merhaba,

SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor

Kod:

replace(gelenVeri, "and", "\and" )

Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

postal · 10.04.2008

Alıntı:

divemaster tarafından gönderilen mesaj:

Merhaba,

SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor

Kod:

replace(gelenVeri, "and", "\and" )

Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

SP kullanarak gelen değerleri parametre ile alabilirsiniz.

soul · 10.04.2008

Alıntı:

divemaster tarafından gönderilen mesaj:

Merhaba,

SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor

Kod:

replace(gelenVeri, "and", "\and" )

Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

En iyi yontem parameterized query kullanmak, gayet te pratik. Yok ille de yapmayacagim dersen tek tirnaklari iki tek tirnak ile replace etmen yeterli olacaktir.

O'Reilly yi su hale getirmen gerekiyor : O''Reilly

Tam olarak bunu sormamissin galiba ama pratik yontem derken? Ozetle tek tirnaklari replace etmen gerekiyor.

teddmcload · 10.04.2008

http://aspnet101.com/aspnet101/tutorials.aspx?id=1

adresinde bir makale var. size yardımcı olacaktır.

divemaster · 10.04.2008

Öneriler için teşekkür ediyorum arkadaşlar.

SP kullanıyorum yaptığım sitelerde ancak sp ile parametre yolladığım girdilerde özel karakterlerin etkinsizleştirildiğini bilmiyordum öğrendiğim iyi oldu.

Bu durumda formdan ya da querystring'den gelen değerlerin süzülmesinin bir önemi kalmıyor

soul; "Tam olarak bunu sormamissin galiba ama pratik yontem derken?"

ASP ile MySQL kullandığımda işaretlerin önüne escape character dediğimiz \ karakterini koyarak Injection'i geçersiz hale getiriyorduk. Bu durumda yazdığımız ' karakteri ascii koda bozulmadan direkt veri tabanına ' olarak giriyordu ve bunu arayüzde tekrar dönüştürmek durumunda kalmıyor ya da karakter sınırlamalarda sorun yaşamıyorduk; tek işlem ile sorunumuz çözülüyordu.

Aynı yöntemi "ASP ile MSSQL kullanırken de nasıl yakalayabiliriz"di benim sormak istediğim. Ancak sp ile karakter dönüştürme gibi bir sorunumuzun olmadığını öğrenmem güzel oldu

09.04.2008	#1 (permalink)
divemaster Üyelik Tarihi: 27.01.2007 Yer: - Mesaj: 108	MSSQL'e Veri Girerken Karakter Temizleme Merhaba, SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor Kod: replace(gelenVeri, "and", "\and" ) Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak

10.04.2008	#4 (permalink)
teddmcload Üyelik Tarihi: 23.07.2005 Yer: istanbul Yaş: 29 Mesaj: 86	Re: MSSQL'e Veri Girerken Karakter Temizleme http://aspnet101.com/aspnet101/tutorials.aspx?id=1 adresinde bir makale var. size yardımcı olacaktır. __________________ Erkan BALABAN www.webtasarimkilavuzu.com Çözümler ihtiyaçlardan doğar

10.04.2008	#5 (permalink)
divemaster Üyelik Tarihi: 27.01.2007 Yer: - Mesaj: 108	Re: MSSQL'e Veri Girerken Karakter Temizleme Öneriler için teşekkür ediyorum arkadaşlar. SP kullanıyorum yaptığım sitelerde ancak sp ile parametre yolladığım girdilerde özel karakterlerin etkinsizleştirildiğini bilmiyordum öğrendiğim iyi oldu. Bu durumda formdan ya da querystring'den gelen değerlerin süzülmesinin bir önemi kalmıyor soul; "Tam olarak bunu sormamissin galiba ama pratik yontem derken?" ASP ile MySQL kullandığımda işaretlerin önüne escape character dediğimiz \ karakterini koyarak Injection'i geçersiz hale getiriyorduk. Bu durumda yazdığımız ' karakteri ascii koda bozulmadan direkt veri tabanına ' olarak giriyordu ve bunu arayüzde tekrar dönüştürmek durumunda kalmıyor ya da karakter sınırlamalarda sorun yaşamıyorduk; tek işlem ile sorunumuz çözülüyordu. Aynı yöntemi "ASP ile MSSQL kullanırken de nasıl yakalayabiliriz"di benim sormak istediğim. Ancak sp ile karakter dönüştürme gibi bir sorunumuzun olmadığını öğrenmem güzel oldu Mesaj divemaster tarafından 10.04.2008 (20:48) yeniden düzenlendi..