[Owasp-turkey] mysql escape sorunsali - 2 defa alanlar kusura bakmasin

Bunyamin Demir bunyamindemir at gmail.com
Tue Jan 15 13:59:16 UTC 2013


Bedirhan,

Soru tam anlaşılmıyor abi. En azından ben anlamadim.

Eğer escaping işlemi back slash ile yapılıyorsa ve MySQL'in ilgili mode'si
NO_BACKSLASH_ESCAPE seçili ise ESAPI saçmalar diyorsan, muhtemeldir diye
düşünüyorum. Bunu da anlaşılmadığını göresin diye yazdım :)

Syg.


14 Ocak 2013 22:55 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> yazdı:

> Merhaba,
> OWASP SQLi cheat sheet<https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping>sayfasinda asagidaki gibi bir ibare var.
>
> *MySQL supports two escaping modes: *
> * *
>
>    1. * ANSI_QUOTES SQL mode, and a mode with this off, which we call *
>    2. * MySQL mode. *
>
> * *
>
> *ANSI SQL mode: Simply encode all ' (single tick) characters with '' (two
> single ticks)*
>
> *...*
>
> Ancak benim gordugum bu degil. Yani her durumda;
>
>    1. single tick, extra single tick ile escape edilebiliyor VE
>    2. single tick, \ karakteriyle  de escape edilebiliyor.*
>    *
>
> Sadece aşağıdaki komut çalıştırılırsa
>
> *set sql_mode NO_BACKSLASH_ESCAPE*
>
> işte bu durumda yukarıdaki ikinci madde çalışmıyor.
>
> MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java
> implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?
>
> --
> bedirhan urgun
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20130115/3a2e1605/attachment.html>


More information about the Owasp-turkey mailing list