Merhaba arkadaşlar. Biliyorsunuz ki ASP’de adres satırından sql cümleleriyle sitenizin veritabanından bilgi alınmaya, silinmeye ya da değiştirilmeye çalışılabilir. Bunun için önemli bir fonksiyonumuzu sizlere anlatıyorum. Adını SQLINj koyalım.
Adres satırında www.ertandonmez.com/page.asp?category=jquery yazılı olsun. Yapmanız gereken şey category ile gelen değeri tehlikeli kodlardan temizlemek. Bunlar insert, delete, drop, select, update,<,>,’ gibi kodlar. Bu saldırı biçimine (Almanca Portekizce Çeviri) içinde geçmiyor ancak adının sql injection olduğunu biliyoz (:
<%
xcategory=Request(“category”)
xcategory=SQLINj(xcategory)
Response.Write (“category zararlı içeriklerden temizlendi.”)
Function SQLINj(str)
if isnull(str) or trim(str)=”” Then Exit Function
str = trim(str)
str = replace(str,”‘”,”’”,1,-1,1)
str = replace(str,”%”,””,1,-1,1)
str = replace(str,”–”,””,1,-1,1)
str = replace(str,”exec”,””,1,-1,1)
str = replace(str,”insert”,””,1,-1,1)
str = replace(str,”delete”,””,1,-1,1)
str = replace(str,”update”,””,1,-1,1)
str = replace(str,”drop”,””,1,-1,1)
str = replace(str,”*/”,””,1,-1,1)
str = replace(str,”<”,”<”,1,-1,1)
str = replace(str,”>”,”>”,1,-1,1)
SQLINj = str
end function
aspkodlari.com alıntıdır.
Sonraki Yazı