ESAPI'nin MySQL escape icin iki modu var. ANSI modu tek tirnaklari ciftliyor. STANDARD modu tek tirnaklarin onune \ ekliyor. <br><br>Mantigini ise "MySQL'de iki mode var, biri tek tirnaklari ciftler, digeri ise onune \ ekler" diye kurmuslar. Ama mysql'de tek tirnaklari escape etmek icin SADECE onune baska bir tek tirnak konulduguna dair bir mod goremedim. MySQL'de ANSI modu bu anlama gelmiyor..<br>

<br><br><div class="gmail_quote">24 Ocak 2013 09:34 tarihinde Bunyamin Demir <span dir="ltr"><<a href="mailto:bunyamindemir@gmail.com" target="_blank">bunyamindemir@gmail.com</a>></span> yazdı:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Bedirhan,<div><br></div><div>Şimdi tam hatırlamadım ama ESAPI'de de mode set edebiliyorsun. STANDART ve ANSI idi sanırım. Bu mode set edilerek denedin mi? Tabi sorunu anlamadım hala ama :)</div><div><br></div><div>Syg.</div>


<div><br><br><div class="gmail_quote">24 Ocak 2013 08:54 tarihinde Bedirhan Urgun <span dir="ltr"><<a href="mailto:bedirhanurgun@gmail.com" target="_blank">bedirhanurgun@gmail.com</a>></span> yazdı:<div><div class="h5">

<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Merhaba,<br>Sanki ESAPI'nin mysql escape icin ANSI_MODE'una gerek yok. Daha dogrusu boyle bir mode anlatildigi sekilde mysql'de yok gibi, belki eski mysql'lerde...<br><br>kolay gelsin.<br><br><div class="gmail_quote">




15 Ocak 2013 15:59 tarihinde Bunyamin Demir <span dir="ltr"><<a href="mailto:bunyamindemir@gmail.com" target="_blank">bunyamindemir@gmail.com</a>></span> yazdı:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




Bedirhan,<div><br></div><div>Soru tam anlaşılmıyor abi. En azından ben anlamadim.</div><div><br></div><div>Eğer escaping işlemi back slash ile yapılıyorsa ve MySQL'in ilgili mode'si NO_BACKSLASH_ESCAPE seçili ise ESAPI saçmalar diyorsan, muhtemeldir diye düşünüyorum. Bunu da anlaşılmadığını göresin diye yazdım :)</div>





<div><br></div><div>Syg.</div><div><br></div><div><br><div class="gmail_quote">14 Ocak 2013 22:55 tarihinde Bedirhan Urgun <span dir="ltr"><<a href="mailto:bedirhanurgun@gmail.com" target="_blank">bedirhanurgun@gmail.com</a>></span> yazdı:<br>





<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Merhaba,<br>OWASP <a href="https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping" target="_blank">SQLi cheat sheet</a> sayfasinda asagidaki gibi bir ibare var.<br>





<p><i>MySQL supports two escaping modes:
</i></p><i>
</i><ol><li><i> ANSI_QUOTES SQL mode, and a mode with this off, which we call
</i></li><li><i> MySQL mode.
</i></li></ol><i>
</i><p><i>ANSI SQL mode: Simply encode all ' (single tick) characters with '' (two single ticks)</i></p><p><i>...</i></p><p>Ancak benim gordugum bu degil. Yani her durumda;</p><ol><li> single tick, extra single tick ile escape edilebiliyor VE<br>








</li><li>single tick, \ karakteriyle  de escape edilebiliyor.<i><br></i></li></ol>Sadece aşağıdaki komut çalıştırılırsa<br><br><i>set sql_mode NO_BACKSLASH_ESCAPE</i><br><br>işte bu durumda yukarıdaki ikinci madde çalışmıyor.<br>








<br>MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?<span><font color="#888888"><br clear="all"><br>-- <br>bedirhan urgun
</font></span><br></div></div>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Bünyamin Demir<br>OWASP-Turkey Chapter Lead<br><a href="http://www.webguvenligi.org" target="_blank">http://www.webguvenligi.org</a><br>




<a href="http://www.owasp.org/index.php/Turkey" target="_blank">http://www.owasp.org/index.php/Turkey</a><br>
<br>Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: <br><a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a>
</font></span></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><br>-- <br><br>bedirhan urgun
</font></span><br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div></div></div><div><div class="h5"><br><br clear="all"><div><br></div>-- <br>Bünyamin Demir<br>OWASP-Turkey Chapter Lead<br><a href="http://www.webguvenligi.org" target="_blank">http://www.webguvenligi.org</a><br>

<a href="http://www.owasp.org/index.php/Turkey" target="_blank">http://www.owasp.org/index.php/Turkey</a><br>
<br>Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: <br><a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a>
</div></div></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><br>bedirhan urgun