Vereceğim örneği sistemimiz üzerindeki giriş sayfalarında yaptığımız olayın mantığından bahsederek açıklayayım.

Giriş sayfalarındaki en basit mantık 2 adet textbox girişi (genellikle birisi kullanıcıadıdiğeri de şifre için kullanılır), 1 tane de sayfanın post edilmesi için bir butondur. Kodlama mantığıise; textbox’lara girilen değerlerin buton’a basıldıktan sonra dinamik bir Sql sorgusu ve herhangi bir veri okuma yöntemiyle {genellikle bu iş için DataReader -MSSQL için SqlDataReader daha uygundur- kullanılır } kullandığımız veritabanıüzerindeki verilerle eşleştirilip sistemde sadece kullanıcıların görebileceği alana geçiş yapılır. Buraya kadar her şey mantığa uygun ve sorun yok. Veritabanında kayıtlıolan kullanıcıbu şekilde giriş yapabiliyor. Peki ya bu durumun istismarısöz konusu olursa o zaman ne yapacağız? Ä°lk önce bu sorunun cevabıiçin bu durumun nasıl istismar edilebileceğini açıklamak gerekir. Bunu örnek vererek açıklayayım.

Devamı »

Tags: Convert, sql.injection