SQL Injection Hakkında

Question

c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

select * where Kod like '" + textbox6.text + "'

şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

Buna rağmen injection mümkün olabilir mi ?

Answer 1

Merhaa,

Fark olmayacaktır.

Sonuçta aynı olay çalışacak, ' ile kesip istediğiniz herhangi bir sorguyu çalıştırmak mümkün olacaktır. 

Farklı bir sonuç olabilir mi? Yanlışsam uyarmanızı rica ederim.

Answer 2

Merhaa,

Fark olmayacaktır.

Sonuçta aynı olay çalışacak, ' ile kesip istediğiniz herhangi bir sorguyu çalıştırmak mümkün olacaktır. 

Farklı bir sonuç olabilir mi? Yanlışsam uyarmanızı rica ederim.

Harflerden başka bir şey yazamayacak, tırnak işareti vs. yazılamıyor olacak...

Answer 3

c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

select * where Kod like '" + textbox6.text + "'

şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

Buna rağmen injection mümkün olabilir mi ?

      Bu program desktop ise sql injection ile uğraşmaz decompile eder direkt istediğimiz sorguyu yazarız :) yok web uygulaması ise bir normal yazar giden requeste bakarız sonra requesti direkt kendimiz atar sizin veritabanını alırız aşağı :) 

     NOT: Gelen requesti filtrelediyseniz de başka şeyler düşünülür.

Answer 4

c# Visual Studio uygulama geliştirirken sorgularda paramete kullanımı ile Injection'un önüne geçilebiliyor. 

Peki sormak istediğim soru şu; kabul parametre kullanımı en doğru ve en güvenilir yöntem fakat parametre kullanmadık ve

select * where Kod like '" + textbox6.text + "'

şeklinde sevilmeyen ve güvensiz tarz ile kodumuz yazdık. textbox6'nın özelliklerinden de max 5 karakter yazılabilir diye ayarladık, keypress ile de sadece karakter yazılabilir kuralını koyduk.

Buna rağmen injection mümkün olabilir mi ?

      Bu program desktop ise sql injection ile uğraşmaz decompile eder direkt istediğimiz sorguyu yazarız :) yok web uygulaması ise bir normal yazar giden requeste bakarız sonra requesti direkt kendimiz atar sizin veritabanını alırız aşağı :) 

     NOT: Gelen requesti filtrelediyseniz de başka şeyler düşünülür.

Evet gayet mantıklı...

Answer 5

Arabayı çalmasınlar diye motoru söküp eve götürmeye döndü mesele. Arayüzden yapacağınız hiç bir engel injection'ı engellemez. Hele hele desktop uygulaması doğrudan veritabanına bağlanıyorsa, parametre kullanmak güvenlik için yeterli değildir. İlgili db kullanıcısının yetkilerini db üzerinden kısıtlamanız gerekir. 

---

www.cihanyakar.com

Answer 6

Arabayı çalmasınlar diye motoru söküp eve götürmeye döndü mesele.

---

www.cihanyakar.com

      U+1F602