[Owasp-turkey] mysql escape sorunsali - 2 defa alanlar kusura bakmasin

Bunyamin Demir bunyamindemir at gmail.com
Thu Jan 24 07:34:01 UTC 2013


Bedirhan,

Şimdi tam hatırlamadım ama ESAPI'de de mode set edebiliyorsun. STANDART ve
ANSI idi sanırım. Bu mode set edilerek denedin mi? Tabi sorunu anlamadım
hala ama :)

Syg.


24 Ocak 2013 08:54 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> yazdı:

> Merhaba,
> Sanki ESAPI'nin mysql escape icin ANSI_MODE'una gerek yok. Daha dogrusu
> boyle bir mode anlatildigi sekilde mysql'de yok gibi, belki eski
> mysql'lerde...
>
> kolay gelsin.
>
> 15 Ocak 2013 15:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>
> Bedirhan,
>>
>> Soru tam anlaşılmıyor abi. En azından ben anlamadim.
>>
>> Eğer escaping işlemi back slash ile yapılıyorsa ve MySQL'in ilgili
>> mode'si NO_BACKSLASH_ESCAPE seçili ise ESAPI saçmalar diyorsan, muhtemeldir
>> diye düşünüyorum. Bunu da anlaşılmadığını göresin diye yazdım :)
>>
>> Syg.
>>
>>
>> 14 Ocak 2013 22:55 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:
>>
>>> Merhaba,
>>> OWASP SQLi cheat sheet<https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping>sayfasinda asagidaki gibi bir ibare var.
>>>
>>> *MySQL supports two escaping modes: *
>>> * *
>>>
>>>    1. * ANSI_QUOTES SQL mode, and a mode with this off, which we call *
>>>    2. * MySQL mode. *
>>>
>>> * *
>>>
>>> *ANSI SQL mode: Simply encode all ' (single tick) characters with ''
>>> (two single ticks)*
>>>
>>> *...*
>>>
>>> Ancak benim gordugum bu degil. Yani her durumda;
>>>
>>>    1. single tick, extra single tick ile escape edilebiliyor VE
>>>    2. single tick, \ karakteriyle  de escape edilebiliyor.*
>>>    *
>>>
>>> Sadece aşağıdaki komut çalıştırılırsa
>>>
>>> *set sql_mode NO_BACKSLASH_ESCAPE*
>>>
>>> işte bu durumda yukarıdaki ikinci madde çalışmıyor.
>>>
>>> MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java
>>> implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?
>>>
>>> --
>>> bedirhan urgun
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> Bünyamin Demir
>> OWASP-Turkey Chapter Lead
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
>
> bedirhan urgun
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20130124/237a39e9/attachment.html>


More information about the Owasp-turkey mailing list