mirmirik / günlük / Sitedeki açik!

Sitedeki açik!

Posted on

Sitedeki açigi kapattigimi düsünüyorum artik arkadaslar. Söyle bir açik varmis megerse daha önceden farkedemedigim. Ekranin sag üst kösesinde gördügünüz Kullanici adi ve Sifre alanlarina tam olarak(tirnak isaretleri ile beraber);

Kullanici için;
1` or `a` = `a

ve sifre için yine;
1` or `a` = `a

girerseniz, sevgili SQL` imiz bunlari alip misler gibi sizi kullanici saniyormus. Neden? E basit. SQL` deki dogrulama su sekildeydi:

…WHERE KULLANICI = “ AND SIFRESI = “… (kullanici ve sifre bulunursa TRUE)

Üst tarafa yazdigim degerler SQL` e gönderilince ne oluyordu?

…WHERE KULLANICI = `1` OR `a` = `a` AND SIFRESI = `1` or `a` = `a`… (her daim TRUE)

Bu kadar basit bir seyi güzelce pas geçmisim. Benim yaptigim esekligi/salakligi sizler yapmayin. Aklinizda bulunsun da textbox` lara girilen bu degerler içindeki tek tirnak isaretlerini temizleyin olsun bitsin. Bununla ilgili de güzel bir sey var. Buyrun buradan yakin;

SQL Injection

15.Temmuz.2004
16.22

Eklemek istedikleriniz?

Top