[Owasp-turkey] SQL Injection gibi Code Injection?

selim mizika at gmail.com
Mon Sep 3 09:26:04 EDT 2007


Merhaba,

merak ettiğim birşey var:
SQL injection saldırılarında sql satırını bir şekilde kırıp sayfanın içine
kendi yazdığımız kodu ekleyebilir miyiz?

yani;
SELECT * FROM Members WHERE username = '' OR ''='' AND password = '' OR
''=''
gibi bi sql kodunun bulunduğu bir login formu için,
username input una ' OR ''=' yazdıktan sonra " ile sql cümlesini
kapayıp :ile bir sonraki satıra geçmiş gibi kod yazılabilir mi?
tabi başka dil bilmediğim için ASP için konuşuyorum.
mesela bir sonraki satıra  geçtikten sonra
Session("login") = "admin"
gibi birşey diyip ' ile login formunun şifre kısmından gelicek olan kod
görmezden gelinir.

SQL injection hakkında ki bilgisi ortada olduğu için bu mesajı önce Ferruh'a
yolladım.
denemeden önce ona sormak istedim.

iyi günler...
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070903/357c1cbb/attachment.html 


More information about the Owasp-turkey mailing list