[Owasp-turkey] mysql escape sorunsali - 2 defa alanlar kusura bakmasin

Bedirhan Urgun bedirhanurgun at gmail.com
Thu Jan 24 07:45:11 UTC 2013


ESAPI'nin MySQL escape icin iki modu var. ANSI modu tek tirnaklari
ciftliyor. STANDARD modu tek tirnaklarin onune \ ekliyor.

Mantigini ise "MySQL'de iki mode var, biri tek tirnaklari ciftler, digeri
ise onune \ ekler" diye kurmuslar. Ama mysql'de tek tirnaklari escape etmek
icin SADECE onune baska bir tek tirnak konulduguna dair bir mod goremedim.
MySQL'de ANSI modu bu anlama gelmiyor..


24 Ocak 2013 09:34 tarihinde Bunyamin Demir <bunyamindemir at gmail.com> yazdı:

> Bedirhan,
>
> Şimdi tam hatırlamadım ama ESAPI'de de mode set edebiliyorsun. STANDART ve
> ANSI idi sanırım. Bu mode set edilerek denedin mi? Tabi sorunu anlamadım
> hala ama :)
>
> Syg.
>
>
> 24 Ocak 2013 08:54 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:
>
> Merhaba,
>> Sanki ESAPI'nin mysql escape icin ANSI_MODE'una gerek yok. Daha dogrusu
>> boyle bir mode anlatildigi sekilde mysql'de yok gibi, belki eski
>> mysql'lerde...
>>
>> kolay gelsin.
>>
>> 15 Ocak 2013 15:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>>
>> Bedirhan,
>>>
>>> Soru tam anlaşılmıyor abi. En azından ben anlamadim.
>>>
>>> Eğer escaping işlemi back slash ile yapılıyorsa ve MySQL'in ilgili
>>> mode'si NO_BACKSLASH_ESCAPE seçili ise ESAPI saçmalar diyorsan, muhtemeldir
>>> diye düşünüyorum. Bunu da anlaşılmadığını göresin diye yazdım :)
>>>
>>> Syg.
>>>
>>>
>>> 14 Ocak 2013 22:55 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:
>>>
>>>> Merhaba,
>>>> OWASP SQLi cheat sheet<https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping>sayfasinda asagidaki gibi bir ibare var.
>>>>
>>>> *MySQL supports two escaping modes: *
>>>> * *
>>>>
>>>>    1. * ANSI_QUOTES SQL mode, and a mode with this off, which we call *
>>>>    2. * MySQL mode. *
>>>>
>>>> * *
>>>>
>>>> *ANSI SQL mode: Simply encode all ' (single tick) characters with ''
>>>> (two single ticks)*
>>>>
>>>> *...*
>>>>
>>>> Ancak benim gordugum bu degil. Yani her durumda;
>>>>
>>>>    1. single tick, extra single tick ile escape edilebiliyor VE
>>>>    2. single tick, \ karakteriyle  de escape edilebiliyor.*
>>>>    *
>>>>
>>>> Sadece aşağıdaki komut çalıştırılırsa
>>>>
>>>> *set sql_mode NO_BACKSLASH_ESCAPE*
>>>>
>>>> işte bu durumda yukarıdaki ikinci madde çalışmıyor.
>>>>
>>>> MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java
>>>> implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?
>>>>
>>>> --
>>>> bedirhan urgun
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> Bünyamin Demir
>>> OWASP-Turkey Chapter Lead
>>> http://www.webguvenligi.org
>>> http://www.owasp.org/index.php/Turkey
>>>
>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>>
>> bedirhan urgun
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bünyamin Demir
> OWASP-Turkey Chapter Lead
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 

bedirhan urgun
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20130124/bfd5f75f/attachment.html>


More information about the Owasp-turkey mailing list