none
SQL Injection Hakkında RRS feed

  • Soru

  • c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

    Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

    select * where Kod like '" + textbox6.text + "'

    şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

    Buna rağmen injection mümkün olabilir mi ?

    30 Temmuz 2019 Salı 14:14

Tüm Yanıtlar

  • Merhaa,

    Fark olmayacaktır.

    Sonuçta aynı olay çalışacak, ' ile kesip istediğiniz herhangi bir sorguyu çalıştırmak mümkün olacaktır. 

    Farklı bir sonuç olabilir mi? Yanlışsam uyarmanızı rica ederim.

    30 Temmuz 2019 Salı 14:48
  • Merhaa,

    Fark olmayacaktır.

    Sonuçta aynı olay çalışacak, ' ile kesip istediğiniz herhangi bir sorguyu çalıştırmak mümkün olacaktır. 

    Farklı bir sonuç olabilir mi? Yanlışsam uyarmanızı rica ederim.

    Harflerden başka bir şey yazamayacak, tırnak işareti vs. yazılamıyor olacak...

    30 Temmuz 2019 Salı 14:52
  • c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

    Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

    select * where Kod like '" + textbox6.text + "'

    şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

    Buna rağmen injection mümkün olabilir mi ?

          Bu program desktop ise sql injection ile uğraşmaz decompile eder direkt istediğimiz sorguyu yazarız :) yok web uygulaması ise bir normal yazar giden requeste bakarız sonra requesti direkt kendimiz atar sizin veritabanını alırız aşağı :) 

         NOT: Gelen requesti filtrelediyseniz de başka şeyler düşünülür.

    30 Temmuz 2019 Salı 15:01
  • c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

    Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

    select * where Kod like '" + textbox6.text + "'

    şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

    Buna rağmen injection mümkün olabilir mi ?

          Bu program desktop ise sql injection ile uğraşmaz decompile eder direkt istediğimiz sorguyu yazarız :) yok web uygulaması ise bir normal yazar giden requeste bakarız sonra requesti direkt kendimiz atar sizin veritabanını alırız aşağı :) 

         NOT: Gelen requesti filtrelediyseniz de başka şeyler düşünülür.

    Evet gayet mantıklı...
    30 Temmuz 2019 Salı 19:34
  • Arabayı çalmasınlar diye motoru söküp eve götürmeye döndü mesele. Arayüzden yapacağınız hiç bir engel injection'ı engellemez. Hele hele desktop uygulaması doğrudan veritabanına bağlanıyorsa, parametre kullanmak güvenlik için yeterli değildir. İlgili db kullanıcısının yetkilerini db üzerinden kısıtlamanız gerekir. 

    www.cihanyakar.com

    31 Temmuz 2019 Çarşamba 09:32
  • Arabayı çalmasınlar diye motoru söküp eve götürmeye döndü mesele.

    www.cihanyakar.com

          U+1F602
    31 Temmuz 2019 Çarşamba 09:56