SQL Injection' a Giriş ve SQL Injection Nedir? - Yorumlar

furkan

furkan — Per, 22 Tem 2010 11:13:47 +0200

video link kirik galiba linki güncelleyebilirmisiniz..

voltran

voltran — Pzt, 05 Tem 2010 18:59:23 +0200

sanirim sql injection nin kullanildigi yerler açik kaynak kodlu hazir yazilim kullanan webcilerin siteleri olsa gerek. Çünkü sql ni kendine göre olusturan yazilimci örnegin Members yerine uyeler, User yerine kullanici password yerine sifre olarak tablo acabilir. Bu da tabiki injection yapacak kisiyi baya bir duvara tostlatir diye düsünüyorum. Ha simdi diyebilirsinizki bir sekilde ne kullandigini ögrendim. E zaten ögrendinse ya yazilim dosyamin içine girmisindir, Yada sql in içine girmisindir. O vakitte Injection a ne gerek var.
Her zaman diyorum ha cebimden para çalmisin ha hazir yazilim kullanmissin. Bana hazir yazilimda ekleme yada açik kapamaya gelenlerin isini asla almiyorum. ve gelecekte bu isi yapmak bu isten para kazanmak istiyorsaniz sizlerde almayin. Çünkü sizler bu isleri aldikça ve bu yamalari kapadikça biz coderlara ihtiyac kalmamakta. Birakin joomlayi, nukeyi istedikleri gibi kullansin kendini uyanik sanan avanaklar. 30 - 40.000 tl teklif verdigim alisveris sitesine adam joomla 5.000 tl veriyor. Bakarmisin hirsiza hem cebimden 30.000 tl çaliyor sonra gelip bende güvenlik açigi varmi diye soruyo yada ya bu sistem 10.25 tl yaziyo ama müsteri 10,25 tl yazsin istiyo hadi be sen yaparsin veririm sana bi 100 dolar . Hade lennnnn kisaca diyorum

Pely

Pely — Sal, 08 Haz 2010 20:47:38 +0200

Merhaba arkadaslar benim bi sorum OLucakta
bilne warsa mail atabilr mi ?
sqL injection da ilK kaydi getirmek icin ne yapabiliRm ?
kullanici adi we sifresini istiyen sayfada
sonuna 'a ekledigimde
war mi yok mu diye koNTrol ettim oKé
select union dan tahmin edemiyorum
ilk kullanici adini we sifresini datadabaseden nasi getirecegim ?
biri mail atabiliRm i*

cihan

cihan — Cmt, 03 Nis 2010 00:57:25 +0200

arkadasalr bu site açiklarini nasil buluyorlar nereye giripde sitenin açigini bulup bilgilere siziliyor önlem almak istiyoruz nasil oluyor açik veri tabanina yönelik bir sey mi

hamza

hamza — Cmt, 13 Mar 2010 01:14:13 +0200

SQL ile alakali diger yazilarini okudum, tesekkür ederim...
Anladigim sey dogru mu cevap verirseniz sevinirim.

SQL cümlesini dinamik olusturuyorsak, (eger alan string) ise tek tirnaklari (') çift tirnak('') ile degistirdigimizde sql enjeksiyon yapilmasiz imkansiz...

Eger alanimizin türü sayisal bir degerse o zaman gelen bilgidegi rakamt hariç herseyi temizledigimizde sql enjeksiyon yapilmasizi imkansiz oluyor...

Bu söyledigim MS SQL için geçerli, MYSQL olsa Tek tirnaklari Slahs Tirnak (\') ile degistirmek gerekli...

Dogru anlamismiyim? Bu söylediklerimi yaptigim takdirde hala sql enejksiyon olabilir mi? olabilirse nasil?
Tesekkür ederim...

mehmet

mehmet — Pzt, 08 Mar 2010 11:07:53 +0200

aslinda injection i engellemek çok basit.

php de örnek verecek olursak.

Misal Formdan degerleri çekerken su ufak kodu kullanalim.

<?php
$username=strip_tags(mysql_real_escape_string($_POST['username']));
?>

yukardaki kodlari formdan her çektiginizde kullanirsaniz ne injection yer nede html çalisir.

peki degerler adres çubugunda ise yani GET fonksiyonuyla degerler çekiliyorsa ?

http://ornek.com/haberler.php?id=5

bunun gibi durumlardada id yi kontrol ettirerek injection ve xss önlenebilir. Bunun için ise benim kullandigim ve tavsiye ettigim yöntem if ile kontrol ettirmektir.

<?php
$id=$_GET['id'];
if($id){
if($id==null){
echo"<script>location='sayfa_yok.php'></script>";
}else{
if(strpos($id,"',;")){
echo"<script>location='sayfa_yok.php'></script>";
}
else{
include"modules/db_sorgu.php";
}

}
}else{
echo"<script>location='sayfa_yok.php'></script>";
}
?>

yukardaki kod ile injection ve xss korumasi yaptik adres çubuguna bos deger girmeyi engeller, deger girilip girilmedigini kontrol eder. Deger girilmisse o degerde ' , ; gibi ifadeleri arar o ifadeler varsa sayfa_yok.php ye yönlendirir.
eger temiz ise db_sorgu.php yi baglanir ve sorgu çalisir

Mtn-B

Mtn-B — Per, 04 Mar 2010 11:17:37 +0200

<?php
$text = "hi’ or ’a’=’a ";
$new_text = str_replace(array('/','#','admin','or','=','and','-','(',')','[',']','|','&',' '),"",$text);
echo $new_text;
?>

hocam bu isime yaradi tesekküler...

güven

güven — Sal, 26 Oca 2010 21:36:42 +0200

@ADONEX veya senin deyiminle 'real asp coder'

Yazdigin fonksiyonun saçmaliginin farkindamisin?

Private Function x_injection(x)
if isnumeric(x)=true then
x_injection=true
else
x_injection=false
end if
End Function

if x_injection(id)=false then response.Redirect("index.asp?error=hataaaa")

en sondaki satir yerine

if isnumeric(id)=false then: response.redirect("numerikdegil.asp")

yazarsan ayni islemi yapmis olursun, bu da fonksiyona gerek olmadigini gösterir

ayrica söyledigin sekilde kesin çözüm degil malesef. id gerektiren islemler de evet ancak form girislerinde hayir

php inspector

php inspector — Çar, 09 Eyl 2009 23:48:42 +0200

bos isler bunlar, mutlaka bir açik birakabilirsiniz, en dogrusu hazir php frameworklarindan yararlanmaktir.

pear.php.net
cakephp.org
codeigniter.com

yukaridaki sitelerde benim kullandigim ve tavsiye ettigim php frameworklari bulabilirsiniz.

Kaan

Kaan — Sal, 02 Haz 2009 20:49:42 +0200

Sha512 gibi bir güzellik elimizdeyken nasil olur da kirilmis md5'in en iyi oldugunu düsünebiliriz, bu garip.
Sha512 ile sifreliyorum ve veritabaninda fazla yer kaplamasin diye md5 ile takrar sifreliyorum.

Kaan

Kaan — Sal, 02 Haz 2009 07:55:38 +0200

Arkadaslar, sql'de id gibi parametreleri ister istemez querystring ile gönderiyoruz ama gelen degerin numerik olup olmadigini kontrol etmeniz dahi bütün kötü niyetli denemeleri etkisiz kilacaktir diye düsünüyorum.

Mesela
int ID;
int.TryParse(Regex.Replace(Request.Url.Query, @"^\?id=(\d+)$","$1"), out ID);

dijeo

dijeo — Per, 12 Mar 2009 02:15:33 +0200

PHP için;
htmlspecialchars(); ve addslashes(); , stripslashes(); gibi fonksiyonlari kullanmanin yeterli olacagini düsünüyorum. Sifre bilgilerini kripto ile koruma konusunda ise md5'den daha gelismis bi versiyon olan sha1 kullanilmali. ASP de var mi bilmiyorum ama PHP de mevcut. Artik pek çok server sha1 destegi sunuyor.

Salih

Salih — Cmt, 20 Ara 2008 19:21:26 +0200

Söyle bir hata buldum bu bir sql injection mudur? Nasil degerlendirebilirim? Tesekkürler.:
Microsoft OLE DB Provider for ODBC Drivers hata '80040e14'

[MySQL][ODBC 3.51 Driver][mysqld-5.0.45-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '=<% Response.Redirect "www.google.com" %> and numara=<% Response.Redirect "www.g' at line 1

C:\INETPUB\VHOSTS\***********\HTTPDOCS\../../*****/8.asp, satir 42

schwert

schwert — Per, 26 Haz 2008 23:58:26 +0200

B.A.D listeyi vermis... açigi kapatmak isterseniz sunun gib bir kod kullanmaniz büyük ölçüde isinize yarayacaktir... kod php kodudur asp ye uyarlayabilirsiniz...

<?php
$text = "hi’ or ’a’=’a ";
$new_text = str_replace(array('/','#','admin','or','=','and','-','(',')','[',']','|','&',' '),"",$text);
echo $new_text;
?>

Emre

Emre — Pzt, 09 Haz 2008 21:39:14 +0200

C# da yazdigimizi varsayarsak ... bir command object i edinelim

using(cmd = connection.createcommand()){
cmd.CommandText = "Select * From Whatever Where user=@user And pass=@pass"
//sora bu @ ile belirtilen parametrelerin degerlerini verelim
cmd.Parameters.Add("@user", SqlDBType.Int);
cmd.Parameters["@user"].Value = _usernameitasiyandegiskenim //string yada textbox.text yada querystring herneyse
}

simdi bu secure enough mi yoksa bunada çare bulundumu sevgili kevin mitnickler : ) saygilarimi sunarim kolay gelsin hepinize

slayerdark

slayerdark — Cum, 16 Kas 2007 17:46:56 +0200

sql komutlarini bilmeyen güvenlikçi arkadaslar acaba hackerana ya mi özenip geldiniz buraya yoksa güvenliginizi saglamak için arastirma yaparkenmi ehehe bu arada bunlar artik yeni sürüm apachelerde bi ise yaramazlar bosa ugrasmayin zaten yiyecek bi site bulursanizda egonuzu tatmin ederse o sizin zavalliliginizdir

ramazan

ramazan — Sal, 13 Kas 2007 14:02:05 +0200

sql komutlarini bulabilirmisiniz . bulursaniz memnun olurum kib

ADONEX

ADONEX — Çar, 03 Eki 2007 14:34:58 +0200

' id ile islem yaparken sql injection a kesin çözüm ! Bu güvenligi asla asamaz !
id=45 ' burayi ilk önce sayi ile test edin.sonra string yani herhengi bir kod ile ya da metin ile ! id=45 ve id="senerrr" gibi

Private Function x_injection(x)
if isnumeric(x)=true then
x_injection=true
else
x_injection=false
end if
End Function

if x_injection(id)=false then response.Redirect("index.asp?error=hataaaa") ' asp.dll bu kodu görünce asagidakinileri yorumlamadan hemen index.asp ye gider

' id="sener" burda false döner demek ki adam bizim id sorgumuza sql injection yapmistir.

' id=45 burda true döner ve demek ki sadece sayi geliyor. islem yapilabilir.

' code by : miyasof@hotmail.com
' real asp coder

B.A.D.

B.A.D. — Sal, 17 Tem 2007 00:28:53 +0200

Materyalist üzerime alinmiyorum ama baya bir muhalefetsin. injection anlamini sen biliyormusun? Yada sana XSS nedir yenirmi içilirmi diye mi sormaliyiz acaba. Sen en iyi html nedir onu söyle

bektasaykut senin sisteminde de injection uygulanir. Adindan da anlayacagin gibi bir yere enjekte etmekten geliyor. Yani sonucta sen sql inde bir sorgu veriyorsun. o sorgu nerden geliyor ? bir input tan. Sen inputtan gelen verini süzüp filtrelemezsen yada encrypt etmezsen gelen sql injection kodunu, direkman olarak sql e gönderiyorsun dogal olarak saldirgan senin belki sql ine direk sizamasa da yapisi hakkinda bilgi sahibi oluyor. Düsün ki ben veritabaninda ki üyeler diye bir form oldugunu ögrendim, id lerin Kimlik adinda ki bir tabloda oldugunu kullanici adinin da kadi adli bir tabloda oldugunu ve bunun gibi bir sürü sey. Tabi diyeceksin ki e ögrense ne olur?... Drop yöntemi ile düsürebilir hepsini. Belki senin 10-100 -1000 tane üyen vardir sorn degil dersin ama farzetki yonja ne bileyim hepsiburada gibi bir veritabanin var ozman da da dikkat etmen lazim...

SQL injection için kullanilan bütün komutlari veriyorum, kendi sistemlerinizde test edin. Oturun inceleyin hangi komutlar gönderiliyor. Buna göre fonksiyonlar yazin ve ayiklayin. Ama mutlaka !!! Mutlaka sifre islemlerini MD5 ile çevirin. Hemde 2 Kez..
MD5(MD5(Request.form("pass")))

admin’--
’ or 0=0 --
" or 0=0 --
or 0=0 --
’ or 0=0 #
" or 0=0 #
or 0=0 #
’ or ’x’=’x
" or "x"="x
’) or (’x’=’x
’ or 1=1--
" or 1=1--
or 1=1--
’ or a=a--
" or "a"="a
’) or (’a’=’a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi’ or 1=1 --
hi’ or ’a’=’a
hi’) or (’a’=’a
hi") or ("a"="a

çeçen

çeçen — Cum, 13 Tem 2007 22:54:26 +0200

hepsi bos önemli olan o kodlari taraslamak linux bilmiyosaniz hiç ugrasmayin:)

bektasaykut

bektasaykut — Per, 28 Haz 2007 19:46:42 +0200

Dim Giris
Set Giris = Kaynak.Execute("Select deger from sifre where alan='sifre'")
If Giris(0)=Request.Form("sifre") Then
Session("oturum") = "xxx"
Else
If Session("oturum") <> "xxx" Then
Response.Write("Sifre yanlis : "&Request.Form("sifre"))
End If
End If
/////
Burada sql injection uygulanabilir mi sizce?
Kendi sistemimdeki kodlar bunlar

sdll

sdll — Cum, 22 Haz 2007 02:06:57 +0200

SELECT * FROM Members WHERE Username = 'teyyare.. sallama ne yazarsan yaz ' AND Password= '' OR ''=''

kullanci adi ve siifresine ayni seyi yazmaya gerek yok biri yeterlii olur. ama nedendir çakamadim.. Ayrintili bi sekilde anlatirsa birisi çok iyi olur tabi anlayan var ise dernlemsine...

Materyalist

Materyalist — Sal, 12 Haz 2007 19:46:34 +0200

Acaba Buraya Yorum Yazanlardan Kaç Kisi "INJECTION" Kelimesinin Tam Olarak Ne Anlama Geldigini Biliyor?

impale

impale — Sal, 30 Oca 2007 14:35:34 +0200

sql ile ilgili bir çalisma ariyordum bu siteyi gördüm..
yararli bilgiler var. herkese kolay gelsin...

answer

answer — Cum, 26 Oca 2007 18:11:34 +0200

sitenize yeni bakiyorum ve acayip merak lisiyim bana yardimci olursaniz sevi nirim bunlari daha kolay ve acik nasil ogrenebilirim bana ce vap verirseniz sevinirim simdiden tesekkurler yazilarinizi takip edicem

C4N_P0L4T

C4N_P0L4T — Sal, 23 Oca 2007 13:08:32 +0200

Bende Yeni Basladim Okuyorum Yazdiklarinizi Anlamadan Cok Begendim Bana Biraz Yardim Edip Yonlendirirseniz Sevinirim.Yani Nasil Baslicam Gibi Tesekkürler.

kuen

kuen — Sal, 23 Oca 2007 11:22:06 +0200

sql injection dan korunuyoruzda, xss den tam güvenli bir sekilde nasil korunuruzu bende uzun zamandir düsünüyorum, makaleni merakla bekliyorum ferruh.

Varol

Varol — Paz, 21 Oca 2007 15:56:05 +0200

evet zaten replace ederek kullaniyorum query stringleri fakat bu yöntemde en azindan adami ugrastirir diye aklima geldi yani madem girdin hemencecik müdürün odasina dalma ilk önce giris katta dur demek

Ferruh Mavituna

Ferruh Mavituna — Paz, 21 Oca 2007 14:12:53 +0200

Benim xss den kastim sonuçta yine bu yolla, stringler ile verinin aktarilmasiydi. Yani önemli olan o stringlerin, formlarin içerisi tarafindan tanimsiz kalmasini saglamak, bunu söylemek istedim

Hicbir koruma olmamasindan kat kat iyidir

B.A.D.

B.A.D. — Paz, 21 Oca 2007 01:44:27 +0200

Benim xss den kastim sonuçta yine bu yolla, stringler ile verinin aktarilmasiydi. Yani önemli olan o stringlerin, formlarin içerisi tarafindan tanimsiz kalmasini saglamak, bunu söylemek istedim

Ferruh Mavituna

Ferruh Mavituna — Paz, 21 Oca 2007 00:25:19 +0200

Unutmayin ki XSS ataklarda var..

Su anki konu ile tamamen alakasiz olmasinin yaninda kullandiginiz korunma koduna guvenmeniz buyuk bir hata lakin XSS ten korunmak icin en kotu yollardan biri o sekilde basir bir blacklisting yapmak. Sadece olurda birileri buradan alip kullanir diye yazayim dedim.

Ileride XSS konusuna da gelecegiz orada insallah detaylarina ineriz.

Simdilik `Server.HTMLEncode()` u kulanmaniz yukaridakine gore daha saglikli.

B.A.D.

B.A.D. — Cmt, 20 Oca 2007 23:47:35 +0200

okadar da basite almayin bunu... Unutmayin ki XSS ataklarda var.. Bunun için ben asp girislerimde bunu gibi bir fonksiyon kullaniyorum. Bunun ile sizde korunaiblirsiniz..

Function PostKontrol(yazi)

yazi = Replace(yazi, "<", "<")
yazi = Replace(yazi, ">", ">")
yazi = Replace(yazi, "script", "script", 1, -1, 0)
yazi = Replace(yazi, "SCRIPT", "SCRIPT", 1, -1, 0)
yazi = Replace(yazi, "Script", "Script", 1, -1, 0)
yazi = Replace(yazi, "script", "Script", 1, -1, 1)
yazi = Replace(yazi, "object", "object", 1, -1, 0)
yazi = Replace(yazi, "OBJECT", "OBJECT", 1, -1, 0)
yazi = Replace(yazi, "Object", "Object", 1, -1, 0)
yazi = Replace(yazi, "object", "Object", 1, -1, 1)
yazi = Replace(yazi, "applet", "applet", 1, -1, 0)
yazi = Replace(yazi, "APPLET", "APPLET", 1, -1, 0)
yazi = Replace(yazi, "Applet", "Applet", 1, -1, 0)
yazi = Replace(yazi, "applet", "Applet", 1, -1, 1)
yazi = Replace(yazi, "embed", "embed", 1, -1, 0)
yazi = Replace(yazi, "EMBED", "EMBED", 1, -1, 0)
yazi = Replace(yazi, "Embed", "Embed", 1, -1, 0)
yazi = Replace(yazi, "embed", "Embed", 1, -1, 1)
yazi = Replace(yazi, "event", "event", 1, -1, 0)
yazi = Replace(yazi, "EVENT", "EVENT", 1, -1, 0)
yazi = Replace(yazi, "Event", "Event", 1, -1, 0)
yazi = Replace(yazi, "event", "Event", 1, -1, 1)
yazi = Replace(yazi, "document", "document", 1, -1, 0)
yazi = Replace(yazi, "DOCUMENT", "DOCUMENT", 1, -1, 0)
yazi = Replace(yazi, "Document", "Document", 1, -1, 0)
yazi = Replace(yazi, "document", "Document", 1, -1, 1)
yazi = Replace(yazi, "cookie", "cookie", 1, -1, 0)
yazi = Replace(yazi, "COOKIE", "COOKIE", 1, -1, 0)
yazi = Replace(yazi, "Cookie", "Cookie", 1, -1, 0)
yazi = Replace(yazi, "cookie", "Cookie", 1, -1, 1)
yazi = Replace(yazi, "form", "form", 1, -1, 0)
yazi = Replace(yazi, "FORM", "FORM", 1, -1, 0)
yazi = Replace(yazi, "Form", "Form", 1, -1, 0)
yazi = Replace(yazi, "form", "Form", 1, -1, 1)
yazi = Replace(yazi, "on", "on", 1, -1, 0)
yazi = Replace(yazi, "ON", "ON", 1, -1, 0)
yazi = Replace(yazi, "On", "On", 1, -1, 0)
yazi = Replace(yazi, "on", "on", 1, -1, 1)
yazi = Replace(yazi, "document.cookie", "Document.cookie", 1, -1, 1)
yazi = Replace(yazi, "javascript:", "javascript ", 1, -1, 1)
yazi = Replace(yazi, "vbscript:", "vbscript ", 1, -1, 1)
yazi = Replace(yazi, "'", "")
yazi = Replace(yazi, vbCrLf, "
")

PostKontrol = yazi

End Function

kullanmak için ise requestin basina PostKontrol yapin yeter.

Örnegin;

kadi = PostKontrol(Reques.Form("UserName"))

gibi. Sifre içinde herzaman kripto yapin. MD5 en iyisi. Takilan arkadaslkar olursa mail atabilirler microsoft.turkey[at]gmail.com
-FIXED
-FIXED

Ferruh Mavituna

Ferruh Mavituna — Cmt, 20 Oca 2007 22:59:14 +0200

zaman db yapimizda ilk üyeyi herzaman en az yetkiyi vermeliyiz. Veya aklima simdi geldi. Bir if daha ekleyip

Aslinda hayir bu bir korunma degil hala SQL Injection a tamamen acikcisiniz, bir cok acidan. SQL Injection dan korunmak temel olarak cok basit ASP icin konusursak tek tirnagi iki cirft tirnak ile replace etmek yeterli olacaktir. Ancak biraz daha detayli korunma makalesi de yoldaki makalelerden.

Varol

Varol — Cmt, 20 Oca 2007 22:12:33 +0200

o zaman db yapimizda ilk üyeyi herzaman en az yetkiyi vermeliyiz. Veya aklima simdi geldi. Bir if daha ekleyip

if memberID=1 then
Response.Redirect "/error.asp"
end if

dersek en azindan adami biraz daha ugrastirmis olabiliriz. Pekala saldirgan db den sorgu yaptiramadigi sürece ilk kullanici disinda herhangi biriyle login olamaz degilmi ?

Bu da az da olsa bir önlem olabilir. ' or 1=1 -- gibi bir sistem kullanarak test ederdim ben login panelini yazdigimda pekde basarili olmazdim tabi.

Yazi çok güzel devamini bekliyoruz bloglarda tanitima basliyoruz.

yLmZ

yLmZ — Cmt, 20 Oca 2007 09:57:40 +0200

Benm yaptigim saftirik bir sitemde bu sql i kullanmistim,, anlasildi nasil girdikleri =)