O sekilde olamaz, cunku bu ornekte mesela ASP gonderdiginiz girdiyi girdi olarak kabul ediyor kod parcasi olarak degil. Dolayisiyla gonderdiginiz kod hic bir zaman calismayacak. SQL Serverda calismasinin nedeni ise SQL Server in gelen tum herseyi islemeye calismasi. Iste bu yuzden zaten en iyi korunma yontemi parameterized query'ler o sekilde olunca ayni ASP gibi SQL server neyin parametre neyin islenecek kod oldugunu secebiliyor.
<br><br>Ancak mesela ASP&#39; de kodda eval() veya execute() varsa ve bu disaridan deger aliyorsa o zaman olabilir.<br><br><div><span class="gmail_quote">On 03/09/07, <b class="gmail_sendername">selim</b> &lt;<a href="mailto:mizika@gmail.com">
mizika@gmail.com</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Merhaba,<br>
<br>
merak ettiğim birşey var:<br>
SQL injection saldırılarında sql satırını bir şekilde kırıp sayfanın içine kendi yazdığımız kodu ekleyebilir miyiz?<br>
<br>
yani;<br>
SELECT * FROM Members WHERE username = &#39;&#39; OR &#39;&#39;=&#39;&#39; AND password = &#39;&#39; OR &#39;&#39;=&#39;&#39;<br>
gibi bi sql kodunun bulunduğu bir login formu için,<br>
username input una <span style="font-weight: bold;">&#39; OR &#39;&#39;=&#39;</span> yazdıktan sonra <span style="font-weight: bold;">&quot;</span> ile sql cümlesini kapayıp <span style="font-weight: bold;">:</span> ile bir sonraki satıra geçmiş gibi kod yazılabilir mi?
<br>
tabi başka dil bilmediğim için ASP için konuşuyorum.<br>
mesela bir sonraki satıra&nbsp; geçtikten sonra<br>
<span>Session(&quot;login&quot;) = &quot;admin&quot;<br>
gibi birşey diyip <span style="font-weight: bold;">&#39;</span> ile login formunun şifre kısmından gelicek olan kod görmezden gelinir.<br>
<br>
SQL injection hakkında ki bilgisi ortada olduğu için bu mesajı önce Ferruh&#39;a yolladım.<br>
denemeden önce ona sormak istedim.<br>
<br>
iyi günler...<br>
</span>
</blockquote></div><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com">http://ferruh.mavituna.com</a>