[CreaNext]

arkadaşlar bir forum da SQL açıklarıyla ilgili bir yazı görmüştüm. sizinde faydalanmanızı istedim yararlı bilgiler...
http://www.wardom.org/forum/showthre...l%FD%FEveri%FE

[eKuzu]

@ CreaNext +1 Herkes Injection lara gerçekten dikkat etsin
Çoğu site + Microsoft Fransa SQL Injection ile hacklenmiştir.
Artı arkadaşlar mümkün olduğu kadatr Stored Procedure Kullanmaya özen gösterin Hem Hız Hemde güvenlik bakımından.

En önemlisi ConnectionStringleri DLL oluşturun Ayrı bir Serverside CreateObject olarak çalıştırın.
Böylelikle sayfanızın kodlarına ulaşsalar bile SQL Pass ve Usrname e ulaşamazlar.

Örnek;
DbConnect.dll

Public function DbSelect(DbPassword)
strDbPassword = "12345"
If DbPassword = strDbPassword Then
DbSelect = "sqloledb;Data Source=Aron1;Initial Catalog=pubs;User Id=sa;Password=asdasd;"
Else
DbSelect = ""
End If
End Function

Bunu Dll olarak kayıt ettikten sonra Regsrv32 ile sunucuya bileşeni okutun.

Örnek bir Connection Cümlesi

Set SecurityDb = server.CreateObject("DbConnect.DbConn")
StringConnection = SecurityDb.DbSelect("12345")

Set Conn= server.CreateObject("Adodb.Connection")
Conn.Provider = StringConnection
Conn.Open

Bunun gibi birçok güvenlik önlemi alabilirsiniz ve Kullandığınız User Pass yetkilerini iyi ayarlayın hosting firmasının verdiğin User ve Pass yarine Daha düşük yetiklere Sahip yeni bir kullanıcı oluşturun örneğin Drop Table Delete gibi komutlarda Access tanımlamayın.

[absconder]

Alıntı:

ozhim tarafından gönderilen mesaj:

pardon arkadasım,
ftp yi ele geciren hacker
ftp de bir ASP dosyası yaratıp

<%
Set SecurityDb = server.CreateObject("DbConnect.DbConn")
response.write SecurityDb.DbSelect("12345")
%>

seklinde bir kod yazarsa bu zeki hacker arkadaslar

karsısına

sqloledb;Data Source=Aron1;Initial Catalog=pubs;User Id=sa;Password=asdasd;

bu satır cıkmazmı ?

geriye connection string yerine, parametresi SQL ifadesi olan bir fonksiyonu dll içine yerleştirip (SQL injection içn kontroller ile beraber), geriye recordset gönderilirse problem kalacağını sanmıyorum. yalnız, recordsetten connection ve connectionstring elde edilemediğine emin değilim.

[soul]

connection stringleri veya data accesslari dll e koymak iyi guzel de SQL injeciton la pek alakasi yok

eger db de istedigin query yi yapabiliyorsan SQL injection uzerinden connection string olsa ne olur olmasa ne olur, hatta genelde db serverlarin direk internet erisimi olmadigindan connection stringin hic bir onemi kalmiyor.

[modifiyeci]

Madem SQL injection dan konuşacaksak ASP veya PHP bazına indirgemeyelim bence. Genel örnekler ve yöntemler verelim. Mesela benim fikrim bu konuda bilgisi olanlar muhteme açıkları vs. anlatsın, sonra hep birlikte bunlardan korunmak için her dilde sınıflar oluşturalım. İyi olmaz mı?

Benim bi sorum olacak, veri tabanına HEADER ları yazmamız gerekirse, kullanıcı tarafından değiştirilebilen headerar hangileridir? Ona göre önlem alalım.

[absconder]

evet SQL injection ile alakası yok tabii ki, sadece yazılan bir noktayı biraz ileri götürmekti maksadım

bu arada SQL Injection ile ilgili ferruh bir şeyler karalıyordu sanırım

[soul]

Alıntı:

absconder tarafından gönderilen mesaj:

evet SQL injection ile alakası yok tabii ki, sadece yazılan bir noktayı biraz ileri götürmekti maksadım

Ben konunun acilisindaki DLL mesaji uzerine demistim, seninkine degil Ama sonucta bunlarin hepsi dedigimiz gibi esktra katmanlar.

Header konusunda ise basitce tum headerlara guvenmemek en iyi cozum. Eger ehader server tabanli olsa bile neden SQLInjeciton() karsi korumali olmasin ki ?