[Owasp-turkey] mysql escape sorunsali - 2 defa alanlar kusura bakmasin

Bedirhan Urgun bedirhanurgun at gmail.com
Mon Jan 14 20:55:21 UTC 2013


Merhaba,
OWASP SQLi cheat
sheet<https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping>sayfasinda
asagidaki gibi bir ibare var.

*MySQL supports two escaping modes: *
* *

   1. * ANSI_QUOTES SQL mode, and a mode with this off, which we call *
   2. * MySQL mode. *

* *

*ANSI SQL mode: Simply encode all ' (single tick) characters with '' (two
single ticks)*

*...*

Ancak benim gordugum bu degil. Yani her durumda;

   1. single tick, extra single tick ile escape edilebiliyor VE
   2. single tick, \ karakteriyle  de escape edilebiliyor.*
   *

Sadece aşağıdaki komut çalıştırılırsa

*set sql_mode NO_BACKSLASH_ESCAPE*

işte bu durumda yukarıdaki ikinci madde çalışmıyor.

MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java
implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?

-- 
bedirhan urgun
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20130114/adb4d6d8/attachment.html>


More information about the Owasp-turkey mailing list