Eline sağlık Ferruh,
merak ettiğim birşey var.
Seslendirmeyi kime yaptırdın?
:)

Tesekkurler, Sesi bilgisayar ile yaptim.

Ellerinize saglık.. Sonunda bekledigimiz an geldi, gercekten size yakisir sekilde kaliteli bir is cikarmissiniz.. Tebrikler.. Takipteyiz.. :)

Bir sorum olacak.."Soru cevap" haline getirmek istemem yorum bölümünü fakat, arkadaslar icinde aciklayici olacaktir.. Username ve Password bölümünde kullanilacak 'OR"=' veya admin'-- kodlari yerine, ben bir login sayfasinda hi" or 1=1 -- kodlariyla login olabildim.. Bu kodu bulana kadar onlarca kod denedim.. Bu denenecek kodlarin calisma mantigi veya hangisinin nerde hangi sekilde kullanabileceginin bir aciklamasi var mi? yoksa deneme yanilma yonteminemi basvurmamiz gerekiyor..
Saygilarimla..

Soru / cevap haline dönmesinde hiç bir zarar yok soruları da çok sorulan sorular gibi ekstradan bir yere toplayıp onları da günnceleyeğiz inşallah bu sayede çok sorulan soruları da cevaplamış oluruz.

hi' or 1=1 --

Makaleye dikkat ederseniz orada mantıksal operasyondan bahsediliyor.

Örnekler ile;

1=1 AND 1=2 > Yanlis
1=1 OR 1=2 Dogru (cunku iki olasiliktan biri dogru)
username='bilmem' OR 8587697986745785=8587697986745785 > Dogru


Özetle buradaki injection' da önemli olan herhangi bir şekilde sorguyu doğru olarak döndürmek.

captivate lisanslı mı yoksa deneme sürümümü kullanıyorsunuz ??

deneme sürümü ile hazırlamayıp buraya koymanın bir problemi varmı ??

wink gibi ücretsiz bir yazılım da kullanılabilir fakat captivate çok çok daha kaliteli.

captivate lisanslı mı yoksa deneme sürümümü kullanıyorsunuz ??

Bakınız büyük şehir çalışıyor : http://ferruh.mavituna.com/anti-piracy/

deneme sürümü ile hazırlamayıp buraya koymanın bir problemi varmı ??
Bilmiyorum lisansi incelemek lazim, ben bayagi bir arastirdim cativate flash movie konusunda en iyisi gibi biraz pahali ama gul - diken iliskisi. Normal video icinse sanirim en iyisi snagit.

hızlıca baktım listenize, satın alınmış yazılımlar arasında göremedim.
Üzgünüm ben 599$ vererek bir captivate lisansı alamam çünkü alsam bile ben bu şekilde aldığım bir lisansın parasını herhangi bir şekilde çıkaramam..

bunun yerine wink ile hazırlamayı tercih ederim.
http://www.debugmode.com/wink/
her ne kadar açık kaynak kodlu olmasa da sonuçta ücretsiz..

ve sanıyorum yukarıda hazırladığınız tutorial'ın aynısını wink ile de hazırlayabilirsiniz. Yani captivate deki özellikleri kullanmayacaksam neden bu kadar para vereyim.

ama eğer captivate 'in rahatlığını söylüyorsanız : evet gerçekten kendisi otomatik olarak şuraya tıklandı vs. yazıyor .. Onlar üzerinde değişiklik yapmam tutorial hazırlama süresini kısaltıyor..interaktif tutorial hazırlamak mümkün.. birşeyleri anlattıktan sonra kullanıcının da adım adım flash üzerinden belirli işlemleri yaparak tekrar etmesi mümkün.. bu özellikleri kullanmayacaksam da wink ile devam ederim.

Çok güzel bir video olmuş.. Tutorial da da bahsettim.

Bu injectionlarla table daki ilk kullanıcı login olabiliyor. Fakat istediği bir kullanıcıyı alabilme yöntemi varmı? Yani sonuçta adam benim table ımda abdulvahap diye birisinin olduğunu bilmiyor değilmi ID sinide bilemiyor. or ile eşitliği sağlayıp geçişi ID si 2 olan kullanıcı ile yapmak gibi bir injection tarzı varmıdır acaba?

Fakat istediği bir kullanıcıyı alabilme yöntemi varmı?
Videonun sonlarina bakarsaniz orada mesela "admin'--" gibi bir kod ile admin olarak login olduk. Bir kac yontem daha kullanilabilir onlara da deginecegiz.

Ozetle videonun 35. karasinden sonra detayli sekilde nasil yapilacagi anlatiliyor.

bunun yerine wink ile hazırlamayı tercih ederim.
Zevk, renk keyif olayi ben bunu sevdim bunu kullaniyorum ve muhtemelen kullanacagim.

Yok ferruh bey ben anlatamadım.

Saldırgan table daki kullanıcıları bilmiyorki benim tablomda misal admin diye birşey yok abdurrahman, sadullah, hudavendigar gibi userlar var. Sorgu yaptıramadığı sürece sadece ilk kullanıcıyla login olabilir değilmi. fake olarak ilk kullanıcının yetkilerini null geçebiliriz bu da bir yöntem olabilir heralde :)

Yok ferruh bey ben anlatamadım.

Ah pardon, simdi anladim. Evet var oyle olmasa da taktikler var. simdi burada detaylara girmeyeyim yoksa makaleye bir sey kalmaz :) Yakinda diyip reklam yapayim.

Yorumlara girip cikarken de beynimi oydu muzik!

dün gece aklıma geldi, videoda açık nasıl kapatılır diye de bir bölüm olsa daha iyi olmaz mı?

Müzik benide bitirdi :)

dün gece aklıma geldi, videoda açık nasıl kapatılır diye de bir bölüm olsa daha iyi olmaz mı?

Bir sonraki bolumde var, videosu da var. Geliyor :)

Cok sabırsız görünmek istemiyorum ama, bir sonraki makale ne zaman gelecek :) Bir lokantadayız diyelim.. Cok acikmisiz.. ve sadece yemegin tadina bakip yemegin hazirlanmasini bekliyoruz.. Ne kadar zor bi bekleyis oldugunu tahmin edebilirsiniz.. :)

Cok sabırsız görünmek istemiyorum ama, bir sonraki makale ne zaman gelecek :)
Acikcasi su an bende vakitleri planlamaya calisiyorum bir dizi makale aslinda hazir direk ufak tefek duzenlemeler yapip atabilirim ancak ondan sonrakiler hazir degil dolayiyla her 3 gunde bir bolum yayinlamayi planliyorum. Hem aradaki vakitlerde de bir onceki makaledeki konular denenip gelistirilir, soru-cevaplar yapilir. Hatalar varsa duzeltilir diye dusundum. Yani bir sorun cikmazsa insallah 2 gun icerisinde yeni bir bolum geliyor. Ancak ufak ufak geliyorlar ve onlarda temel konular umarim beklemek cok sıkıcı olmaz.

Süper bir çalışma olmuş..

çok güzel ve basit(belki biraz fazla:P) bir şekilde anlatmışsın. konu hakkında az çok bilgim vardı ama yine de çok işime yarayacak. ve yine; her zamanki gibi sana yakışan bir şeyler yapmışsın:)
teşekkürler

Aslında SQL Injection'la logine karşı karakter sınırlaması getirmek epeyce etkili olabilir... ", ', - , vb. karakterlerin girişi engellenebilir...

Selamun aleyküm ferruh bey benim bi sorum olcak bu sql injections sonuna kadar izledim yalnız bu basit sistemler için gecerli şu an için vbulletin sistemi üzerinde sql injections için bi kaç yöntem denedim yalnız olmadı tabi siz daha bilgilisiniz ama sorum şu ;

$md5string=md5_hex($INPUT{'password'});

logaritmasıyla md5 codu hew güvenlik nosuyla birleştirilip tekrar md5 ile hash haline getiriliyor burda sql yolunun

SELECT * FROM user WHERE password=MD5(CONCAT(MD5(password), user.salt))

şeklnde gitgini varsayarsak burda sql injections metdodu için olay çok karşıyor burdaki sorgudan sonuc alma olasılıgımız nedir?

öncelikle ellerinize, beyninize, gönlünüze sağlık.
"seslendirmeyi bilgisayar ile yaptım" demişsiniz.
Adobe Captivate kendisi mi seslendir-ebil-iyor?
Yoksa başka bir program mı kullandınız?

Yorumlar onaylanıp eklenecekmiş vazgeçtim

Ferruh Hoca iyi hoş etmişsinde ...

Hacım sende biliyorsun ki yoğun tempo içersinde gözümüzden kaçabilior temizleme fonksiyonlarını login sorgularına eklemek , şimdi sen iyi etmişsin hoş etmişsin bunları zaten biz biliyoruz. En azından çoluk çocuğa yaymayın bunları sitenin hacklenmesinin ne kadar zor olduğunu bilen biri olarak injection ile hehe diye sırıtan veletler çok can sıkıyor :))

O değilde herkese öneririm ben formlardan gelen bilgiyi md5 ile şifreler ve kullanırım bileşen felan gerekmeden tek fonksiyonla burda anlatılan neredeyse tüm yöntemlerden korunurum. Yani dalgınlık hata yaptırır ve sonuçları kötü olur.

Askeriyede yapıldığı gibi yapacaksın kodlama işini

T A L İ M A T N A M E
1 - ilk evvela bilgisayarın güç düğmesine basılır ( Eleman ne oluo demeden power'a yapışır bir arkadaş :) çat reset )
2 - Script yazılmaya başlanmak için hazırlanılır.
3 - ....

Gerçektende bu işi böyle yapabilen adam varmıdır yaw piyasada ben inanmıyorum açıkçası yani hepimizin hataları olmuştur mutlaka bu kadar abartılmamalı diye düşünüyorum.

Saygılarımla...
Baran SEREN
Vista Yazılım ve Danışmanlık Ltd. Şti.

Ferruh bey ilk login yaparken login de username'in ustune gelioyorsunuz bir anda kullanicilarin isimleri,sifreleri ve mail adresleri cikio ben orayi anlamadim orada ne oluyorda hemen o kisma geliyor yoksa o bir program felanmi birde bu kodlari yazdigimiz program hangisidir?yanlismi dusunuyorum yanlis dusunuyorsam cahilligimi magdur gorun.Lutfen elimden geldigince anlamak istiyorum yardim edin.tesekkurler.