Merhaba,<br>Sanki ESAPI'nin mysql escape icin ANSI_MODE'una gerek yok. Daha dogrusu boyle bir mode anlatildigi sekilde mysql'de yok gibi, belki eski mysql'lerde...<br><br>kolay gelsin.<br><br><div class="gmail_quote">

15 Ocak 2013 15:59 tarihinde Bunyamin Demir <span dir="ltr"><<a href="mailto:bunyamindemir@gmail.com" target="_blank">bunyamindemir@gmail.com</a>></span> yazdı:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Bedirhan,<div><br></div><div>Soru tam anlaşılmıyor abi. En azından ben anlamadim.</div><div><br></div><div>Eğer escaping işlemi back slash ile yapılıyorsa ve MySQL'in ilgili mode'si NO_BACKSLASH_ESCAPE seçili ise ESAPI saçmalar diyorsan, muhtemeldir diye düşünüyorum. Bunu da anlaşılmadığını göresin diye yazdım :)</div>


<div><br></div><div>Syg.</div><div><br></div><div><br><div class="gmail_quote">14 Ocak 2013 22:55 tarihinde Bedirhan Urgun <span dir="ltr"><<a href="mailto:bedirhanurgun@gmail.com" target="_blank">bedirhanurgun@gmail.com</a>></span> yazdı:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">Merhaba,<br>OWASP <a href="https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping" target="_blank">SQLi cheat sheet</a> sayfasinda asagidaki gibi bir ibare var.<br>


<p><i>MySQL supports two escaping modes:
</i></p><i>
</i><ol><li><i> ANSI_QUOTES SQL mode, and a mode with this off, which we call
</i></li><li><i> MySQL mode.
</i></li></ol><i>
</i><p><i>ANSI SQL mode: Simply encode all ' (single tick) characters with '' (two single ticks)</i></p><p><i>...</i></p><p>Ancak benim gordugum bu degil. Yani her durumda;</p><ol><li> single tick, extra single tick ile escape edilebiliyor VE<br>





</li><li>single tick, \ karakteriyle  de escape edilebiliyor.<i><br></i></li></ol>Sadece aşağıdaki komut çalıştırılırsa<br><br><i>set sql_mode NO_BACKSLASH_ESCAPE</i><br><br>işte bu durumda yukarıdaki ikinci madde çalışmıyor.<br>





<br>MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?<span><font color="#888888"><br clear="all"><br>-- <br>bedirhan urgun
</font></span><br></div></div>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Bünyamin Demir<br>OWASP-Turkey Chapter Lead<br><a href="http://www.webguvenligi.org" target="_blank">http://www.webguvenligi.org</a><br>

<a href="http://www.owasp.org/index.php/Turkey" target="_blank">http://www.owasp.org/index.php/Turkey</a><br>
<br>Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: <br><a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a>
</font></span></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><br>bedirhan urgun